Der Sinn hinter Gesetz & Regulatorik ft. Dr. Swantje Westpfahl
Herzlich willkommen zu einer neuen Folge Breach FM. Endlich bin ich maximal los für eine Folge.
Das hat so ein bisschen Überhand genommen die letzten Wochen.
Wir hatten eigentlich ja geplant, dass wir in einem zweiwöchigen Turnus die
Flurfunkfolgen machen und dass zwischendrin, wie sonst auch alle zwei Wochen,
eine Folge mit einem Interviewgast kommt.
Das hat die letzten Wochen aus vielerlei Gründen nicht hingehauen.
Ich hatte zwei krankheitliche Absagen.
Ich selbst habe mir eine Lungenentzündung eingefangen.
Ja, und dann bei meiner heutigen Gesprächspartnerin hat es DHL so ein bisschen
versaut, weil die tatsächlich das erste Mikrofon verloren haben,
das ich ihr geschickt habe.
Und da ich euch immer die beste Soundqualität bieten möchte,
haben wir das Ganze nochmal verschoben.
Das Mikrofon ist mittlerweile wieder aufgetaucht, es kam einfach zurück an mich,
ohne jegliche Begründung.
Also wer sich da Sorgen macht, nein, die hat es nicht verloren gegangen, sie besteht noch.
Und ich kann nur noch mal, bevor wir gleich auch ins Gespräch einsteigen, noch mal Danke sagen.
Es gab in den letzten Wochen auf Aufruf von Max und mir viele schöne Bewertungen
auf Spotify, auf Apple Podcast.
Da freue ich mich sehr drüber. Und da ich nie genug haben kann,
macht weiter so und schaut einfach, dass wenn ihr das heute noch nicht gemacht habt, dann macht es.
Allein auf Spotify sind wir immer noch auf weit, weit unter 10 Prozent der Hörer,
die da eine Bewertung abgegeben haben.
Und ich glaube, da sollten wir noch ein bisschen höher kommen,
weil das garantiert so interessante Gäste wie auch heute.
Ich habe auch bewertet.
Du hast auch bewertet?
Ja, ich habe auch bewertet.
Bist du diese eine Ein-Sterne-Bewertung?
Nein, natürlich nicht. Eine Fünf-Sterne-Bewertung natürlich nicht,
aber bei Apple Post, ich habe auch kein Spotify.
Ja, es verteilt sich tatsächlich ganz interessant.
Man merkt, dass man in der Tech-Branche ist, weil ich immer wieder Podcast-Player
lese, von denen ich in meinem Leben noch nicht gehört habe in den Statistiken.
Also ich glaube, ich habe, ich muss mal nachschauen, ich glaube irgendwas um
die 22 aktive Podcast-Player, während ich bei so einem anderen Privatprojekt genau sechs Stück habe.
Und da merkt man einfach, man ist in der Tech-Branche. Ich bekomme auch immer
wieder sehr skurrile Anfragen von euch, wieso ich nicht auf der und der Plattform
vertreten bin. Ich schreibe ganz oft zurück, weil ich sie nicht kenne.
Das ist, glaube ich, immer so der Grund. Wenn ihr mir es schreibt und ich eine
technische, einfache Möglichkeit sehe, die mich nicht um Nächte bringt,
da zu publishen, dann mache ich das gerne. Deswegen meldet euch einfach immer.
Ja, jetzt hast du schon geredet und dich noch gar nicht vorgestellt.
Wer bist du und was machst du? Vielleicht haben dich ja Leute an der Stimme schon erkannt.
Meinst du, die ist so weit verbreitet? Das ist mein allererster Podcast.
Also gut, ich stelle mich sehr, sehr gerne vor. Mein Name ist Svante Westphal.
Ich bezeichne mich ganz gerne selbst als Brückenbauerin.
Habe auch ein bisschen wilden Hintergrund, bin eigentlich durch sehr viele positive
Zufälle in der Cybersecurity-Branche gelandet, habe ursprünglich mal Lehramt
auf Gymnasium Deutsch und Englisch studiert,
mag man nicht meinen, dass man mit so einem Hintergrund dann in der Cybersecurity
landet, habe dann in Computerlinguistik promoviert, immer mal wieder nach rechts
und links geguckt und bin jetzt in der glücklichen Position,
dass ich Geschäftsführerin von zwei Firmen bin, dem Institute for Security and
Safety, was ein an Institut, an der Hochschule Mannheim ist und der WICON.
Ich bin aber auch Dozentin dann eben an der Hochschule Mannheim.
Ich versuche mich selber so ein bisschen als Coach und Enablerin für mein Team zu sehen.
Immer noch im Herzen Forscherin in Forschungsprojekten eingebunden.
Partnerin, ein Kollege von mir aus dem Netzwerk hat mich irgendwann mal als
Cybersecurity Jedi bezeichnet, was mich total gefreut hat. Das war für mich voll die Ehre.
Bis dann die Marketingabteilung sagte, das darf ich nicht sagen,
weil das ist ja Trade-Markt und das darf ich nur irgendwo hinschreiben.
Also andere würden vielleicht sagen, wie ist denn, also ich stehe immer für
mehr Cybersicherheit überall ein oder Enthusiast oder Evangelist,
also nenn es, wie du willst.
Ich bin auf jeden Fall, glaube ich, in dem Bereich gelandet,
in dem ich landen sollte, wenn auch über wilde Umwege.
Und freue mich da, das Wissen, was ich mir aneignen konnte, weitergeben zu können
an meine Studierenden oder auch an mein Team und Geschäftspartner,
aber auch einfach immer wieder neu dazuzulernen.
Und deswegen liebe ich auch solche Podcasts wie deinen, weil es hilft einfach,
viele Seiten, viele Blickwinkel kennenzulernen.
Nur daran kann man irgendwie wachsen.
Es sind ja auch immer eigentlich die schönen Geschichten, die nicht so ganz
geradlinig verlaufen, zumindest nicht geradlinig zum Thema hin.
Ich habe auch die Erfahrung gemacht, dass bei uns in der Branche ganz oft die
interessantesten wie auch hellsten Köpfe gar nicht so diesen nativen Cybersecurity Background haben.
Gehört wahrscheinlich auch zu einem gewissen Grad dazu, dass man jetzt vor 20
Jahren noch nicht diese Riesenspezialisierung ganz oft hatte.
Ich merke aber auch, wenn es bei uns beispielsweise im Job um Anstellungen geht,
wie gern ich Leute einfach auch nehme, die mal ein bisschen von außen kommen.
Das mag innerhalb der Branche von außen sein, jemand, der viel Infrastruktur
zum Beispiel gemacht hat, der einfach ein ganz anderes Verständnis dafür hat,
wie es wirklich funktioniert und nicht, wie es in irgendeinem Gartner-Paper funktioniert,
weil das sind doch zwei sehr getrennte Welten immer noch voneinander. da.
Aber auch ansonsten einfach Leute, die mehr vielleicht aus dem ganzen Bereich
Governance kommen, die vielleicht einem Techniker mal so ein bisschen Realität
aufweisen können, die er nicht kennt oder andersrum und ich glaube,
das sind einfach ganz schöne Geschichten.
Das ist auch eine Erfahrung, die ich immer wieder mache. Also wenn ich erzähle,
dass ich von sonst wo herkomme, dann sagen extrem viele, ja, ich auch.
Also ich habe so und so einen Hintergrund und ich habe auch mal mir den Spaß
erlaubt, da habe ich ein Panel geleitet zum Thema Cybersecurity Skills Gap bei
der Annual Cyber Security Konferenz des World Economic Forums.
Und da sind ja wirklich krasse, krasse Leute.
Die sammeln ja im Prinzip die Head of CISOs, CEOs von Cyber Security Unternehmen, sonst woher.
Und da waren circa 80 Leute im Raum. Und ich habe dann zum Anfang der Session
mal gefragt, wer von euch hat denn das überhaupt studiert?
Also wer hat einen Abschluss in Cyber Security?
Und es gingen drei Hände nach oben von ca. 80 Leuten im Raum.
Und dann sieht man halt, wie wenig, also irgendwie gleichzeitig machen wir Jobdeskript.
Das hattest du ja auch schon mit Max das Thema, wo irgendwie drinsteht,
so und so viel soll man alles an Erfahrungen mitbringen, so und so viele Jahre
und den Abschluss, den Master in sonst wie.
Die meisten, die allermeisten, die jetzt erfahren sind, sind Quereinsteiger.
Ja, und wir müssen die Dinge auch anwendbar machen. Das ist immer noch mein
großes Problem, dass wir, Theorie ist wichtig, ich finde es auch wichtig,
auf einem höheren Level mal über die Dinge zu sprechen und auch mal in einem
größeren Rahmen über die Dinge zu sprechen.
Aber wenn wir nicht schaffen, die Dinge anwendbar zu machen in der Praxis,
dann sind sie einfach nichts wert.
Und ich habe schon noch das Gefühl, dass wir ganz oft Diskussionen führen des
Cyber-Willens und nicht wirklich, um wirklich mehr Resilienz herzustellen oder
handlungsfähiger zu werden.
Und ich glaube, da müssen wir schon mal wieder so ein bisschen umdenken auch.
Ja, ich glaube, das ist vielleicht dann auch ein bisschen der Vorteil,
wenn du aus anderen Bereichen kommst, dass du halt einfach andere Blickwinkel mit reinbringst.
Also wenn ich jetzt sage, ich habe eine Promotion in Computerlinguistik gemacht,
ja, da wollte ich, dass mein Tool am Ende läuft.
Und ich kann jetzt sehr gut nachvollziehen, wie das für alle ist,
die irgendwie Algorithmen programmieren, die Softwareprogrammierer sind.
Und da ist Security erstmal zweitrangig. Erstmal ist es wichtig,
dass das Ding am Ende überhaupt funktioniert.
Und das rechts und links, das muss man dann irgendwann machen.
Und da einfach dieses Verständnis für zu haben, hilft total auf Augenhöhe,
mit solchen Leuten zu kommunizieren, um denen halt auch klarzumachen,
wie und wo man das auch sinnvoll einbauen kann. Dann kommt natürlich auch wieder
die Lehrerin in mir durch,
wo ich halt ganz, ganz viel Wert darauf lege.
Das didaktisch so aufzubereiten, dass es halt nach allen Prinzipien der Didaktik
auch verstanden werden kann.
Wenn wir jetzt mal, ich glaube für die Leute, die vielleicht noch ein bisschen
besseres Verständnis oder für die es noch ein bisschen greifbarer gemacht werden
muss, was du genau machst, das Institut for Security and Safety,
was macht ihr da konkret, was ist konkret eure Aufgabe, was wollt ihr auch damit erreichen?
Ja, also das Institut ist ein Aninstitut der Hochschule Mannheim und somit sind
wir mit der Hochschule Mannheim in Forschung und Lehre verbunden.
Heißt, ich gebe regelmäßig Seminare an der Hochschule Mannheim für Studierende, immer im Turnus.
Momentan ist es Automotive Security, letztes Semester war es Security Awareness.
Das ist der eine Teil, das machen auch Kollegen und ich.
Wir unterstützen im Prinzip den Lehrkorpus der Hochschule Mannheim im Bereich
Lehre, machen aber auch gemeinsame Forschungsprojekte, haben jetzt gerade eins
in der Beantragung, wo wir hoffen, dass es durchgeht. Da sind wir jetzt in der
zweiten Phase. Schauen wir dann mal.
Auf der anderen Seite sind wir auch selbst finanziert.
Das heißt, wir haben zwar den akademischen Hut, wenn ich ihn brauche,
das ist sehr nützlich, gerade dann auch für die internationale Gremienarbeit.
Aber ja, also wir bieten vor allem Security Assessments, Schulungen aus und
Weiterbildung im Bereich Cyber Security und das halt wirklich sehr weit gespannt.
Also von Hands-on-Demonstrator-AOT-Schulung bis hin zu Geschäftsführerschulung
jetzt für die NIST 2, dass man da halt irgendwie Risikomanagement-Techniken
und Verständnismehrwert dafür generiert.
Also das ist sehr, sehr breit gefächert. Und zwischen diesen Welten versuche
ich als Brückenbauerin immer vor allem, mich daran zu sehen, zu vermitteln.
Also wir gehen dann eben viel in die internationale Gremienarbeit.
Und da ist es, wie ich finde, von unglaublichem Wert, dass man sowohl.
Mit Leuten aus der Forschung über das Thema diskutiert und im Prinzip die Forschungsschwerpunkte
und auch versteht, wie wissenschaftliche Methoden geht, wie valide vielleicht
auch meine Statistik ist, wie sehr man der Glauben schenken darf,
aber eben auch von der Industriesicht.
Also diese Industrieprojekte, die wir machen mit unserem Team,
die sind unglaublich wertvoll, weil es ist häufig, dass man in Regulatorikgremien sitzt,
dort halt viele vertreten sind, die eigentlich noch nie so ein kleineres mittelständisches
Unternehmen von innen gesehen haben.
Also es sind viele Vertreter von großen Unternehmen häufig da,
aber diese Regularien, die gelten ja dann für viele und wenn man dann halt auch
mal dagegenhalten kann und sagen kann, ist ja schön und gut,
was ihr euch da gedacht habt, aber in der echten Welt da draußen läuft der Hase
einfach anders und dafür müssen wir auch Lösungen finden und das müssen wir auch mit einbeziehen.
Und deswegen mag ich das total gerne, die Möglichkeit zu haben,
wirklich auf verschiedensten Ebenen zu arbeiten.
Also einerseits wirklich mit Kunden zusammen die Probleme zu erfahren,
die die haben, die Alltagsprobleme, bis hin zu Problemfeldern,
die die Forschung schon sieht.
Vielleicht auch ein bisschen visionär zu sein, ein bisschen vorne dran zu sein.
Wo man dann schon sieht, okay, da geht es hin und das dann eben in einen Abgleich
zu bringen mit, was ist da gerade
in der Governance-Welt, was ist in der Compliance-Organisatorischen,
Regulatorischen Welt los, inwiefern wird das, was antizipiert wird von der Forschung.
Schon aufgenommen in Standards und wiederum dann von Regulatorik aufgegriffen
als Best Practice und so muss man es machen.
Hast du das Gefühl, dass das eine Zeit lang oder zumindest, wenn man jetzt mal
ein paar Jahre zurückschaut, noch nicht so gut gelaufen ist,
dieses Brückenschlagen?
Weil so meine ganz eigene Sicht auf die Dinge ist, dass wir ganz lange in so
einem völlig freien Modus unterwegs waren und dass wir wirklich so gefühlt das
gemacht haben, worauf wir gerade Lust hatten und was wir so für richtig empfunden haben.
Also einen sehr, sehr praktischen Ansatz, einen maximal praktischen Ansatz und
dass es dann irgendwann wirklich komplett gekippt ist und zwar in die völlig andere Richtung,
dass wir uns und ich spreche jetzt gar nicht über eine bestimmte Regulatorik,
über eine bestimmte Richtlinie, aber wenn man mal auf die Richtlinien von vor,
ich würde jetzt mal sagen sechs, sieben Jahren schaut,
egal aus welcher Branche, dann war das ganz oft sehr realitätsferner Unsinn,
wie ich das früher immer bezeichnete.
Da waren auch die Auditoren, die dann kamen, muss man ganz klar sagen,
die haben sich die Sachen durchgelesen, die haben relativ starr die Sachen abgefragt.
Und wenn man nicht Ja und Amen sagen konnte, dann hatte man sofort irgendeine Hauptabweichung.
Auch wenn man vielleicht, ich würde jetzt mal sagen, andere mitigierende Maßnahmen
ergriffen hatte, da war dann aber wenig Verständnis dafür da.
Ich habe das Gefühl, das hat sich deutlich verbessert in den letzten Jahren,
zumindest in der Breite. Es gibt auch immer noch Ausnahmen, bei denen ich sage,
ich bin jetzt kein Fan von, wenn das angewendet wird.
Aber es gibt auch viele Dinge, die haben sich deutlich verbessert.
Ich nehme mal ein Beispiel her.
Ich bin bis heute nicht zu 1000 Prozent zufrieden mit irgendeiner TISAX,
wo wir jetzt natürlich auch nicht nur über Cyber Security reden,
sondern über vieles andere.
Aber ich habe trotzdem das Gefühl, dass sich da mittlerweile praktischere Gedanken gemacht werden.
Hat sich das für dich entwickelt oder siehst du auch da derzeit immer noch eine Entwicklung?
Naja, das hat sich schon entwickelt. Und das entwickelt sich mit jeder Regulierung
immer wieder neu. Also es ist eher ein Zyklus, wie ich finde.
Also wir fangen an und gehen natürlich erstmal davon aus,
und das ist ein sehr weit verbreitetes Phänomen unter uns Security-Leuten,
also sowohl bei der physischen als auch bei der IT und Informationssicherheit,
dass wir denken, wie können die anderen das nur nicht verstehen und warum machen
die das nicht alle freiwillig.
Also wir, die wir die Bedrohungslage kennen, wir, die wir irgendwie die Welt
da draußen und die Incidents schon gesehen haben, wir raufen uns häufig die Haare und denken uns,
ja, warum machen die das nicht alle freiwillig und stehen voll dahinter und
finden das total geil und dann bräuchte es ja gar keine Regulierung.
Die Realität sieht ja leider anders aus. Das ist halt bei vielen einfach dieses
gesamtgesellschaftliche Wissen oder auch die Best Practices,
so ein gesamtgesellschaftliches Problem, wie ich das finde, nicht da sind.
Und solange das nicht der Fall ist, brauchen wir halt erstmal Vorgaben und Regulierung.
Und wir haben das gesehen, wenn man sich die Prozesse anschaut über Jahre zurück,
was alles safety-relevant ist und wie sich die Safety über die Jahre entwickelt hat,
Auch mithilfe von viel Regulierung, mit viel Audit, Zertifizierung etc.
Und wie halt unsere gesamte Lebenswelt dadurch natürlich auch sicherer geworden ist.
Man kann es nicht mögen, dass man irgendwie eine Strafe bekommt,
wenn man sich nicht anschnallt im Auto, aber es macht halt vieles einfach sicherer.
Und auch da, also wenn man sich diesen Prozess anguckt, von den Ersten,
also da haben auch viele sich beschwert und gesagt, das könnt ihr uns doch nicht
vorschreiben, das ist meine Freiheit, mich anzuschnallen oder nicht.
Und inzwischen macht es jeder ganz selbstverständlich.
Und diese Bewegungen, die haben wir in der Security auch. Und das sind immer wieder Wellen.
Und dann, was die Auditierung davon angeht, das ist genauso.
Also jedes Mal, wenn du eine Regulierung hast, die irgendwas ganz Neues reguliert,
dann muss ja natürlich derjenige, der das abprüfen muss, sich auch erst mal aufschlauen.
Und da kommen wir wieder zum Thema Didaktik. Also ich kann nichts vernünftig
abprüfen und herausfinden, wie es wirklich ist, wenn ich selber gar nicht so weit bin.
Und jetzt haben wir ein paar Jahre BSE-Grundschutz. Irgendwann haben die Auditoren
das draufgekommen oder meinetwegen TISAX.
Dann haben die Auditoren sich da auch aufgeschlaut und können das inzwischen.
Und dann kann man auch sinnvollere Konversationen führen in solchen Audits.
Dann hatten wir aber jetzt das Gleiche wieder mit der R155, 156,
also die Regulierung für den
Automotive-Sektor, für das Software-Update-Management und für das CSMS.
Und da lief das ganze Spiel wieder genau so, weil diejenigen,
die das zuerst auditieren, die sind halt auch nicht so erfahren darin.
Das heißt, immer wenn wir irgendwo was Neues bauen, eine neue Regulierung,
einen neuen Standard, dann müssen wir eben auch dem Ganzen immer so ein bisschen
Zeit geben, bis das ankommt.
Und klar wäre es schön und die ideelle Welt, wenn wir diese Regulierung nicht
bräuchten, wenn das einfach jeder aus eigener Überzeugung her tun würde.
Aber gerade bei ganz, ganz vielen, die die Notwendigkeit sehen.
