Security in Reinkultur ft. Max Imbiel
Einen wunderschönen guten Morgen zu einer neuen Folge Breach FM.
Wir machen weiter mit unserer Runde der alten Bekannten.
Der heutige Gast ist tatsächlich schon eine Zeit her, dass er mal bei uns war.
Und ich hatte ihm auch angekündigt, wir müssen unbedingt mal wieder eine Folge
machen. Und dann kam mein Terminstau irgendwie.
Also ihr könnt euch freuen. Derzeit geht es tatsächlich darum,
dass wir die Termine irgendwie koordinieren, dass wir diesen zweiwöchigen Rhythmus behalten.
Ich war schon mal gewillt, in einen Einwöchigen überzugehen,
aber das hätte ich dann wieder bereut nach einer Zeit. Deswegen,
wir bleiben erstmal bei zwei Wochen.
Ja, wir haben heute wieder den lieben Max zu Gast.
Max, für die, die die Folge damals nicht gehört haben, kann ich erstmal empfehlen,
hört sie bitte auf alle Fälle nochmal.
Aber stell dich doch bitte einfach mal selbst nochmal vor.
Sehr gerne. Danke, Robert, nochmal für die Einladung. Bin gerne wieder hier.
Hat damals schon sehr viel Spaß gemacht.
Bin mal sehr gespannt, worüber wir heute Schönes reden können.
Max Enbiel, ich bin aktuell bei der N26, der Deputy Group CISO.
Ich kümmere mich da hauptsächlich um die ganzen Themen Security und IT,
Governance, Risk Compliance.
Also wie übertragen wir unsere tagtäglichen Risikothemen in unsere Compliance-Aspekte,
in unser Risk Management Framework?
Wie stellen wir sicher, dass wir von der Governance-Seite alle Themen abgedeckt
haben und dass wir das auch in, sage ich mal, dem sehr agilen und sehr modernen
Arbeitsumfeld, das wir bei der N26 haben,
auch so umsetzen können, dass wir natürlich auch regulatorisch gut dastehen.
Das finde ich erstmal gut, weil das sind alles Themen, da hättest du mich vor,
ich sag jetzt mal fünf Jahren noch absolut jagen können.
War absolut nie meins, ohne dass ich jetzt der letzte Techie war,
aber sobald da zu viel Schriftstück mit den Themen Governance oder Risk draufstanden.
Ja, also ich bin auch wahrscheinlich bis heute nicht der, der da den größten
Einschlag für hat, aber trotzdem erkenne ich glaube ich mittlerweile mehr und mehr den Sinn dahinter.
Ich glaube, diese Aversion kommt daher, dass, und ich weiß nicht,
wie da deine Meinung zu ist, dass da in der Vergangenheit auch bis heute noch
ganz viel Unsinn mit betrieben wird und teilweise halt auch ganz viel,
mal gefühlt Leute beschäftigt werden, damit sie eine Aufgabe haben,
obwohl man das Thema, wie ich mittlerweile gemerkt habe, auch ganz anders leben kann.
Du, ich stimme dir da vollkommen zu. Wenn ich jetzt auch mal ein bisschen in
die Vergangenheit zurückdenke, auch wo ich hergekommen bin, aus der reinen technischen
Richtung, also ich habe auch selber Entwicklung gelernt,
habe Informatik und Wirtschaftsinformatik studiert.
Also für mich war das alles immer auch so ein bisschen eher der Techie-Approach.
Wir machen halt mal, wir machen was Cooles, wir bauen was auf,
wir schauen, dass wir es irgendwie sicher kriegen, beziehungsweise auch,
wir können was auch angreifen.
Aber so, dass man das halt dann alles auch in wirkliche Regelwerke ummünzt und
dass man sich dann an bestimmte Vorgaben hält,
das war für mich auch erstmal so ein Learning, was ich in der Zeit als Berater
wirklich so gesehen habe, über die eher Konzerne, wo ich mit drin war in meinen
Sicherheitsprojekten.
Weil so die ganz Großen, alles was natürlich DAX 40 und so war,
die mussten sowas natürlich schon haben, seit jeher.
Und da habe ich den Unterschied einfach auch gesehen zwischen eben diesem Großkonzern
und dem regulierten Bereich und dem typischen Mittelständler oder sogar Kleinunternehmen,
wo man halt einfach mal gemacht hat oder wo man halt dann angefasst hat, wo es gerade brennt.
Und da ist mir so ein bisschen klar geworden, wenn man so eine regulatorische
Vorgabe hat oder sich selber so ein Framework setzt,
woran man sich orientiert, das hilft einem schon in seinem gesamten Aufbau von der Security,
weil man erstmal einen Scope hat.
Und sich dann nicht auch vielleicht in zu kleine Einzeldetails verliert,
sondern du hast so dein Big Picture, wo du ja eigentlich hin willst.
Und das war für mich auch nochmal damals so ein Grund, eben mehr in die Finanzwelt einzutauchen.
Also ich war vor der N26 noch bei der Uni Credit als Deputy CISO in Deutschland
verantwortlich und das war für mich komplettes Neuland damals.
Also ich habe von der Finanzbranche bis zu dem Zeitpunkt eigentlich nichts gewusst.
Ich kannte die BAIT nicht oder eine MRisk nicht. keine Chance gehabt.
Und mein damaliger Chef hatte aber irgendwie glücklicherweise für mich einfach
gesagt, du pass auf, ich traue dir das zu, fang du mal an.
Wichtig ist erstmal grundsätzlich das Team zu leiten und dass du deine Expertise
schon mal mit reinbringst, das ganze Regulatorische, das kriegst du hin.
Und da habe ich dann über die nächsten Schritte halt immer mehr mir genau diese
Frameworks und so weiter angeschaut, habe dann gesehen, okay,
wieso macht das Sinn? Warum, wie können wir das implementieren?
Warum ist es sinnvoll, dass wir jetzt eben beispielsweise getrieben sind,
gewisse Monitoring-Sachen zu implementieren, dass wir Regeln für auch ein Incident-Management
und so weiter haben müssen?
Und das war für mich wirklich so ein Eye-Opener, was auch einfach der Grund
ist, warum ich jetzt viel auch auf Bühnen stehe oder jetzt hier mit dir in dem
Podcast sitze, wo ich sage, Regulierung tut uns im Security-Bereich gut.
Sie hilft uns, dass wir in der breiten Masse mehr Awareness für das Thema bekommen
und die Leute mehr Guidance,
eine Leitlinie bekommen,
wie sie überhaupt eine gewisse Art und Weise Security umsetzen.
Weil was ja natürlich auch viele Firmen früher für Probleme hatten,
war zu sagen, ich habe keine Ahnung, was ich in der Security machen soll. Wo fange ich denn an?
Und jetzt hast du zumindest halt mal so dieses Bild, wo du sagen kannst,
jetzt kommt eine NIST 2 in der Finanzwelt und im Versicherungsunternehmen kommt eine DORA.
Es gibt das Cyber Resilience Act und so weiter. Klar, das überschüttet einen
jetzt erstmal wieder mit dem, was da alles auf uns zukommt. Aber es gibt ja trotzdem...
Es gibt ja eben diese Leitlinie, die dir sagt, hey, pass mal auf,
das gilt in Zukunft und das sind die Punkte, um die du dich kümmern musst.
Und das finde ich halt wirklich super. Das ist kein Garant dafür natürlich,
dass du dann hundertprozentig sicher bist. Das gibt es sowieso nicht.
Aber ich glaube, wir erhöhen dadurch einfach mal so das Gesamtlevel,
was wir heutzutage, was wir heute einfach in Deutschland haben.
Und das ist halt nicht hoch. Sonst würden wir nicht jeden Tag immer wieder irgendwelche
Angriffe auf Kommunen sehen, Krankenhäuser, IT-Dienstleister für irgendwelche
großen Unternehmen oder eben Kommunen.
Ich glaube, das wird uns insgesamt schon helfen, dass wir da einfach besser
aufgestellt sind und auch besser vorbereitet sind.
Ja, es ist, ich glaube, das große Problem daran ist oft immer noch,
und es klingt jetzt ein bisschen ketzerisch und ich überhöhe das auch extra
so ein bisschen, aber ich glaube, dass man sich so manche Governance- und Risk-Themen
auch schon noch leisten können muss.
Also ich kenne genug Unternehmen, selbst aus dem gehobenen Mittelstand,
die versuchen da ihr Möglichstes, aber die bekommen natürlich ganz oft,
wie du schon gesagt hast, aus
den verschiedensten Richtungen jetzt Anforderungen auf den Tisch geworfen.
Also da ist ja nicht nur NIST 2, da kommt noch TISAX dazu, dann haben irgendwelche
anderen Automobilzulieferer nochmal irgendwelche Anforderungen und wollen auditieren.
Und diese Summe ist natürlich relativ mächtig, auch wenn sich natürlich viele
Dinge überschneiden, aber der eine drückt es ein bisschen fluffiger aus,
der andere drückt es ein bisschen handfester aus, was da gefordert wird und
da sehe ich eben schon die Gefahr,
dass sich viele Unternehmen in dem Modus, in dem sie sind und natürlich kann
man darüber streiten, haben sie sich da vielleicht selbst reinbegeben mit diesem,
ich muss hier was flicken, ich muss da was flicken,
aber das sind halt oftmals Unternehmen, die haben eine IT-Historie von 30 Jahren,
da fange ich halt nicht von null an Und was ich mir da einfach mehr wünschen
würde, ist, dass ich A, die verschiedenen...
Behörden wie auch immer oder teilweise Interessensgemeinschaften einfach mal
mehr auf einen gemeinsamen Nenner und vielleicht auch eine gemeinsame Sprache
mal einigen würden und man nicht diesen Flickenteppich teilweise hätte,
den manche Unternehmen unterliegen, weil da sage ich ganz klar,
den allen nicht nur auf dem Papier, sondern auch in der Praxis gerecht zu werden,
das muss man sich ressourcentechnisch erstmal leisten können. Wie siehst du das?
Ressourcentechnisch bin ich absolut bei dir. Das ist natürlich ein gigantisches
Thema, wo wir einfach ein Problem haben in Deutschland.
Und ich glaube auch, wenn wir da jetzt ein bisschen drauf reingehen,
ich glaube auch, dass es zum großen Teil daran liegt,
dass wir halt in Deutschland vor allem wieder auch mehr auf die KMUs gesehen
eine viel zu hohe Konzentration auf eine alleinige deutsche Sprache haben.
Wir, diese Firmen tun sich unglaublich schwer, sich Experten aus dem Ausland zu holen.
Und ich blicke jetzt mit einer Brille drauf, wo ich sage, ich bin bei uns im
CISO Office, im Security Team, bin ich der einzige Deutsche für ein deutsches Unternehmen.
Aber ich bin der einzige Deutsche und es tut dieser Firma so unglaublich gut,
weil du kriegst diese verschiedenen Blicke rein.
Du hast so viele andere Vorstellungen und Vorgehensweisen, die aber immer wieder
positive Aspekte reinbringen, dass du dich mit dieser Diversifizierung, die du in dem Team hast,
nur auf wirklich die positiven Aspekte konzentrieren kannst.
Klar hast du natürlich auch jetzt wieder dann andere Schwerpunkte,
die sie aufgrund ihrer Herkunft irgendwo legen, im Arbeitsalltag oder wie grundsätzlich
sie arbeiten selbst, aber das sind Sachen, da kann man sich drauf vorbereiten, das ist nicht wild.
Aber der Knackpunkt ist, das liegt bei uns halt einfach daran,
weil wir seit jeher in der N26 eigentlich schon Englisch als Firmensprache benutzen.
Das heißt, wir haben alle ein Medium, mit dem wir uns verständigen können.
Bei KMUs, die alle nur auf Deutsch aufgebaut sind, weil sie das halt in der
Vergangenheit schon immer so gemacht haben und noch nie wirklich ändern mussten,
die können halt nicht jemanden irgendwo aus...
Aus Afrika oder aus Indien oder sowas mal schnell heiern, obwohl das Experten
sind, obwohl die wirklich gute Sichtweisen haben, weil die kommen halt rein
und die verstehen kein Wort.
Das ist erstmal dieser Ressourcen-Konflikt, den ich da sehe,
wo wir uns einfach schwer tun,
dass wir wirklich innerhalb von Deutschland die Anzahl der notwendigen Leute
auch einsetzen können, um diese Ziele zu erreichen, einfach weil wir so sehr auf uns limitiert sind.
Mhm. Das ist ein Aspekt, an den ich zumindest so bewusst bisher selten gedacht habe.
Ich habe ein Beispiel von einem Unternehmen, mit dem ich schon relativ lange zusammenarbeite.
Die haben in Deutschland relativ lange nach einem typischen IT-Security-Engineer
gesucht. Also jemand, der zwar auch so ein bisschen gestalterisch tätig wird,
der aber größtenteils auch viel einfach wegarbeitet.
Also der sich die Malware-Findings anschaut, der sich vielleicht irgendwie mal
die Dinge anschaut, die aus der Sandbox fallen.
Also der muss schon was können, auf alle Fälle.
Und da tut man sich natürlich hier mittlerweile schon echt schwer,
jemanden zu finden, der dann auch eine gewisse Erfahrung hat,
für den man dann auch nicht jedes Fabelgehalt zahlen kann.
Also auch das verstehe ich nicht immer ganz, da wird immer ganz gerne auf irgendwelchen
sozialen Medien, ja dann zahlt das halt, es geht doch um eure Firmensicherheit.
Ja, aber ich kann mir deswegen nicht jegliches Gehaltsgefüge in der Firma zerschießen.
Also ich muss schon irgendwo einen gesunden Trade-off da machen.
Und was die dann gemacht haben, ist tatsächlich gesagt, wir schauen jetzt mal,
wir haben ein Werk in Mexiko.
Das ist auch relativ groß. Die hatten innerhalb von drei Wochen jemanden in
Mexiko, der auch echt für diesen Job einfach ein super, super gutes Level und
eine super gute Erfahrung hat.
Und da ging es jetzt gar nicht darum, jemanden zu finden, der günstiger ist oder so.
Also der verdient wahrscheinlich für mexikanische Verhältnisse gut überdurchschnittlich,
sondern es ging einfach darum, überhaupt jemanden zu finden.
Und ja, ich glaube, man muss auch sagen, sowas ist natürlich ein schleichender
Prozess. Du hast es richtig gesagt, bei euch war es von Anfang an so.
Das macht es ein bisschen einfacher. Wenn ich das jetzt in ein Familienunternehmen
integriere, was seit 80 Jahren deutsch ausgerichtet ist, dann kann ich da nicht
einfach von heute auf morgen, das habe ich auch schon gesehen,
versuchen auf einem anderen Kontinent ein Team einzurichten und dann darauf
zu bauen, dass das für Security sorgt, sondern ich hole halt mal einen Engineer aus einem anderen Land.
Ich hole den auch mal nach Deutschland, weil es gibt kulturelle Unterschiede
einfach in der Art und Weise, wie die Leute arbeiten und ich habe halt auch
schon das andere Extrem, wie gesagt, gesehen,
da suchen sich dann Konzerne, ey, wir machen jetzt unser Security komplett in
Indien, komplett in Singapur oder sonst irgendwo und haben sich dann gewundert,
dass es kulturell einfach ein zu großer Schock ist.
Ja, das betrachten viele viel zu wenig,
diesen Culture-Aspekt mit einzubringen, weil du natürlich ganz andere Prioritäten
in anderen Ländern hast und Vorgehensweisen und so weiter und so fort.
Musste ich schon darauf vorbereiten.
Die lustigste Geschichte, die ich da immer noch habe, ist von einem sehr guten
Freund von mir, dem sein Bruder, der ist vor, ich glaube, das ist mittlerweile
schon 15 Jahre her oder so, der ist, nachdem er lange Zeit bei der Bundeswehr war,
ist er für ein deutsches Unternehmen nach Indien gegangen, um dort auch Produktionsleiter oder sowas zu sein.
So, und war dann eben Chef von einer ziemlich großen Abteilung mit vielen Leuten,
alles in Indien, also natürlich alles Inder.
Und kurze Zeit nachdem er angefangen hat, gab es dann irgendwie so eine Art
Firmenfeier, Firmenfest.
Und dann hat er sich, was für uns wahrscheinlich völlig normal ist,
was jeder von uns genauso machen würde, hat er sich mit zu seinen Teamkollegen an den Tisch gesetzt.
Also alle, mit denen er tagtäglich zusammengearbeitet hat, aber für die er halt der Chef ist.
Hat sich mit denen hingesetzt, hat mit denen gesprochen, hat mit denen gegessen
und so weiter und so fort.
Am nächsten Tag kommt er in die Firma rein, ist keiner da. Er fragt sich, was ist jetzt los?
Klingelt die ganzen Leute durch, fragt ihn nach, was ist denn los?
Warum seid ihr nicht da? Ich habe heute freigenommen.
Wie, du hast heute freigenommen? Du hast nichts gesagt, was ist los?
Ja, ich habe gedacht, du hast dich gestern mit zu uns gesetzt,
damit sind wir jetzt mit dir mit gleichgestellt und sind auch Chef.
Dann müssen wir nicht mehr Bescheid sagen.
Und er ist völlig aus allen Wolken gefallen und er wusste gar nicht,
wie er damit so richtig umgehen muss.
Aber das war auch wieder genau dieser Culture-Jock, den er in dem Moment hatte.
Er hat sich, na klar, es gibt in Indien immer noch dieses Kastenprinzip,
er hat sich sozusagen auf diese Kaste von seinem Team gesetzt und damit hat
das Team automatisch gedacht, damit steigen sie quasi in die Kaste mit hoch
und sie müssen dann ihn auch gar nicht mehr irgendwie reporten.
Und da musste er auch wieder ein komplett neues Prinzip für sich umdenken und
hat dann eben auch über die Company nochmal so Culture-Lehrgänge quasi gekriegt,
Kultur-Lehrgänge für Indien,
dass er sich da einfach besser drauf vorbereiten konnte dann in dem Moment und
das sind wirklich diese Aspekte, die musst du in dem,
also die musst du natürlich betrachten, wenn du gewisse Sachen auslagerst in
andere Länder, wenn du ein Offshoring machst oder ein Outgoing von bestimmten
Sachen in ganz andere Länder Veränderungen, Kulturen, dass da dann Sachen natürlich
auch irgendwie anders funktionieren.
Und dann musst du dich darauf einstellen. Da kannst du nicht mit derselben Erwartungshaltung
reingehen wie, so haben wir das bis jetzt immer gemacht, dann wird das auch so. Nein, wird es nicht.
Also das ist ein Umdenken, das du dann mitbringen musst.
Ja, ich habe es gemerkt, ich war letztes Jahr relativ viel unterwegs,
teilweise auch in anderen Ländern und habe dann zum Beispiel so ein bisschen
Instant-Response-Übungen gemacht und allein da merkst du massive kulturelle Unterschiede.
Also ein gutes Beispiel ist zum Beispiel, wenn du irgendwo im lateinamerikanischen
Raum bist, habe ich einfach die persönliche Erfahrung gemacht,
das mag jetzt auch subjektiv sein,
dass wenn die für eine deutsche Firma arbeiten und beispielsweise einen Vorfall
oder auch nur ein Event erstmal analysieren sollen und das als Auftrag aus Deutschland bekommen,
dann meinen die das teilweise zu gut.
Das heißt, dann legen die doppelte, dreifache, vierfache Sorgfalt hin,
analysieren das bis zum Ende, vergessen aber in dem Moment, dass wir jetzt gerade
nicht sechs Stunden Zeit haben, weil sie um Himmels Willen nicht wollen,
dass sie irgendwas Falsches dann auch machen.
Und dann muss man denen halt auch erstmal in dem Moment sagen,
ey, es ist okay, wenn ihr auch mal was Falsches drückt.
In manchen Situationen muss ich mir halt zu 80% sicher sein und da kann ich
mir nicht zu 100% sicher sein, weil ich die Zeit nicht habe.
Keine Ahnung, ich sehe einen Kobalt-Streit bieten, beispielsweise auf irgendeinem Rechner,
und für mich wirkt das schon so, als wäre es das, dann sollte ich jetzt nicht
sechs Stunden noch irgendwie Logs analysieren, sondern dann sollte ich das Ding
