Bin ich NIS2-pflichtig?

Bin ich NIS2-pflichtig?

Bin ich NIS2-pflichtig?

56:20 Webinare

NIS2-Rollenwandel: Vom IT-Ermöglicher zum strategischen Risikomanager

Das Zusammenspiel von IT-Governance, Recht und Datenplattform-Architektur als Schutzschild der Unternehmensführung.

Datum des Webinars 17. März 2026

Die ersten 5 Minuten unserer Webinar-Aufzeichnungen stehen frei zur Verfügung. Für den vollständigen Zugriff bitten wir Sie lediglich um die Angabe einiger weniger Informationen.

00:01

Guten Tag, meine Damen und Herren, und herzlich willkommen zu unserem Live-Webinar zum Thema NIS 2, Anforderungen und Ansätze zur Sicherung der Dateninfrastruktur. Mein Name ist Janis Mourtakis und ich werde Sie durch dieses Webinar führen. Lange haben wir auf das Gesetz zur Umsetzung der NIS 2 Cyber-Sicherheitsrichtlinie gewartet. Ende letzten Jahres wurde sie endlich verabschiedet und sie gilt schon heute.

00:29

Es, es vielmehr, das Gesetz gilt schon heute. Eine Übergangsfrist war nie vorgesehen. Rund dreißigtausend Unternehmen sind direkt davon betroffen. Doch wir leben in einer vernetzten Wirtschaft und deshalb ist damit zu alle anderen Unternehmen sich mittelfristig auf höhere Sicherheitsstandards werden

00:48

einstellen müssen. Welche Anforderungen das Gesetz beinhaltet und was von IT-Abteilungen nun gefordert ist, darüber klären uns zwei Experten von Everpure auf. Das sind Rechtsanwalt Tobias Reiter, Syndikus bei Everpure in Deutschland, und Markus Zapollino, Senior Manager Pre-Sales für den öffentlichen Sektor in

01:10

Deutschland, auch bei Everpure. Es wurde ja eingangs schon erwähnt, dass halt eben am 6. Dezember das Gesetz durch den Bundestag ging, ja, und dann letztendlich ohne Schonfrist und Übergangsfrist, umgesetzt wurde. Hatte ja eine zeitliche Komponente, weil es sollte ja eigentlich schon in 2024,

01:30

verabschiedet worden sein, was sich dann, dadurch bemerkbar gemacht hat durch den Regierungswechsel in Deutschland und der Entscheidung genau in dem Zeitpunkt führte dann dazu, dass es dann halt eben zu einem se, späteren, Punkt dann zur, Beschlusssache kam. Ja, also das war ja dann im September, 2025 und als es dann hieß, okay,

01:56

mit Erscheinen im, Bundesgesetzblatt, tritt das Gesetz in Kraft, so war es dann auch am, am Nikolaustag, am 6. Dezember, als dann diese Erscheinung kam, sodass, eigentlich alle, die jetzt in der Branche sich da drin bewegen, einfach sagen: „Ups, das ging jetzt aber doch schnell.“ Und, Tobias wird jetzt eben ein bissl auf die rechtlichen Aspekte dann nachher mal eingehen

02:23

und wir, zeigen dann noch mal dann den praktischen Teil, wie man sich direkt wappnen kann. Dann auch noch mal ein herzliches Willkommen von meiner Seite. Du kannst auf deine Kamera. Ja. Genau. Ähm, vielleicht ganz kurz zur Agenda: Wir werden den Teil anfangen mit den rechtlichen

02:43

Aspekten zu NIS 2. Ähm, ganz kurz nur zum Überblick: Ähm, was ist NIS 2? Wer ist betroffen? Was sind die wichtigsten Regelungen, für Sie? Was sind mögliche Sanktionen, wenn Sie nicht, entsprechend konform,

03:00

und überprüft sind? Ähm, und dann, übergebe ich an den Kollegen Markus Zapollino, der Ihnen dann mehr technisch, dazu sagen wird, was, und welche Produkte von uns, Sie einsetzen können, um eben die Richtlinien und die Anforderungen des Gesetzes einzuhalten. Ähm, also was ist NIS 2, und, und wer ist betroffen?

03:26

Erst mal vielleicht ganz kurz: Was bedeutet eigentlich die Abkürzung NIS 2? Das ist die Network and Information Security Directive. Warum 2? Weil es gab auch schon eine Nummer 1 aus dem Jahr 2016. Ähm, damals allerdings noch, aus Zeiten, in denen Cyberangriffe vielleicht

03:47

weniger koordiniert waren, als sie das heute sind. Viele sagen jetzt, 2016 war so das, das Golden, die goldene Ära des Internets, bevor, die großen Social-Media- und AI/ML- und Cloud, Firmen so richtig abgehoben sind, die jetzt heutezutage auch nicht mehr wegzudenken sind. Und das Ziel der NIS-2-Richtlinie ist einfach, dieses lückenhafte,

04:17

Geflecht von, von Anforderungen auf das aktuelle notwendige Niveau zu heben. Denn was wir gesehen haben in den letzten zehn Jahren seit der NIS-1, Richtlinie, seit die in Kraft getreten ist, massivem Anstieg von ransomware immer wieder in den Nachrichten. Ähm, alleine in Deutschland wird geschätzt, dass die, der jährliche Schaden circa zweihundert Milliarden Euro beträgt.

04:43

Ähm, geopolitische Spannungen, die wir immer wieder sehen, wenn Staaten, hauptsächlich wenn man jetzt an Russland denkt oder auch an, an Staaten wie Nordkorea, aber auch natürlich an, an andere Staaten wie China, die, entsprechende Angriffe auf, ja, behördliche oder unternehmerische Infrastruktur, verüben. Und dann natürlich die digitale Abhängigkeit, die geschützt werden muss, weil mittlerweile

05:12

ist IT aus keinem Lebensbereich mehr wegzudenken. Aber da gibt es natürlich dann die sehr kritischen Lebensbereiche wie die Daseinsversorgung, Strom, Wasser, Finanzen, Logistik, Krankenhäuser, die, und die vernetzt sind, wo wir uns natürlich auf gar keinen Fall einen Unternehmen erlauben dürfen, weil möglicherweise das dann kaskadierende Effekte

05:39

auf die gesamte Gesellschaft und die Wirtschaft hat. Da gibt es auch recht gute Bücher dazu, die, immer wieder, in den, in den Medien herumschwirren. Ähm, jetzt hat, haben die Kollegen, mit meinem kleinen technischen, Lapsus da am Anfang schon angefangen.

05:58

Ähm, sie haben gesagt, 6.12., da ist das Gesetz in Kraft getreten. Ähm, vielleicht auch wichtig: Es gab eine dreimonatige Karenzzeit, um sich, zu registrieren, beim BSI als betroffenes Unternehmen. Da gehe ich gleich mal drauf ein. Diese Karenzfrist ist am Anfang, März schon abgelaufen undÄhm, also sollten Sie da

06:20

noch nicht registriert sein, sollten Sie, das möglichst, schnell, noch, prüfen. Da gibt's auch entsprechend gute, Informationen und, eine Betroffenheitsprüfung auf der Seite des BSI. Das ist das Gesetz, und das BSI, also das, Sicherheitsgesetz, in Deutschland setzt diese

06:46

Richtlinie um und das BSI hat da auf seiner Webseite auch entsprechende Verfügung gestellt, eben diese Betroffenheitsprüfung, die Sie als Unternehmen dann durchführen können, wenn das, gewünscht ist. Ich kann das gerne noch, nachher im Chat verlinken, diese Seite, wo Sie diese Informationen auf, auf der BSI-Seite finden.

07:07

Ähm, grundsätzlich zu sagen, es sind achtzehn Sektoren betroffen mittlerweile, also nicht nur acht, wie es beim vorigen, Fall war. Ähm, in Deutschland gehen wir davon aus, dass circa dreißigtausend Unternehmen davon betroffen sind. EU-weit sind es ungefähr hundertfünfzigtausend Unternehmen, die davon betroffen sind.

07:28

Ähm, diese Sektoren sind zum einen Energie, wie ich vorher schon gesagt hab, Verkehr, Banken, Gesundheitswesen, Daseinsvorsorge, Infrastruktur. Die genaue Auflistung der Sektoren finden Sie auch in der Anlage zum BSI-Gesetz und die unterscheidet eben zwischen besonders wichtigen und wichtigen Einrichtungen. Ähm, die Definition ist da auch noch mal im, im Gesetz niedergelegt.

07:55

Also eine besondere, besonders wichtige Einrichtung, sind dann zum Beispiel, eben Trinkwasserversorgung, Banken, oder, die, die Verwaltung. Ähm, und, dann gibt's dann entsprechend Abstufungen dazu. Ähm, grundsätzlich auch in der EU, fünfzig Mitarbeiter plus X und mehr als zehn Millionen, Euro Jahresumsatz, auf den weltweiten Jahresumsatz

08:27

wird und nicht nur auf den vielleicht der Tochtergesellschaft, die sich in Deutschland oder in Europa befindet, während der Mutterkonzern im Ausland sitzt, sondern das ist der weltweite Jahresumsatz. Ähm, also, das vielleicht auch, als, als, Punkt noch mal zu bedenken. Und, ein wichtiger Punkt auch noch, die Haftung der Geschäftsleitung, bei Verstößen

08:51

gegen, das BSI und gegen die Registrierungspflicht. Ähm, das dann auch noch mal, da komme ich auch noch mal später drauf, zurück, in der nä-- in einer der nächsten Slides. Ähm, das einfach noch mal als, als, Anfangshinweis, was BSI, was die NIS-2-Richtlinie ist und, was sie zu tun versucht, ist einfach, diesen Flickenteppich, den wir vorher hatten durch

09:19

die NIS-1-Richtlinie, durch mangelnde Umsetzung oder, andere Umsetzung als, in, in einzelnen EU, Ländern, als das gemacht haben, zu harmonisieren und das Sicherheitsniveau einfach auf ein neues Level zu, zu, heben, um es Angreifern oder potenziellen, Angreifern, zu erschweren, eben die Infrastruktur der EU und die Unternehmen, in Mitleidenschaft zu ziehen.

09:50

Martin, eine kurze Zwischenfrage. Ja klar. Ich hatte in meinem Intro erwähnt, dass, wahrscheinlich indirekt mehrere Unternehmen betroffen sind als diese Ja. Ähm, wie sieht es eigentlich aus, wenn ich Zulieferer bin von einem NIS-2-Unternehmen, von einem NIS-2-betroffenen Unternehmen?

10:10

Bin ich nicht grundsätzlich natürlich verpflichtet, wenn ich nicht unter diese, unter diese, Punkte falle, NIS 2 für mich einzuhalten. Aber natürlich indirekt, besteht die Pflicht, oder ist mein Bestreben als Unternehmen natürlich dann auch zu sagen, wir als Zulieferer möchten, wie wir das jetzt ja in dem Webinar auch machen, Ihnen als möglicherweise

10:37

betroffenes Unternehmen natürlich die Hilfestellung zukommen lassen, um Ihre Compliance-Anforderungen zu erfüllen. Und dafür ist dann, das Unternehmen sozusagen als Zulieferer, entsprechend, aufgestellt. Ähm, das betrifft hauptsächlich, natürlich die IT-, -Zulieferer oder dies, die Dienstleister

10:58

in der IT, kann aber auch darüber hinaus andere Unternehmen betreffen, wenn's jetzt um, um Herstellung von bestimmten Produkten geht oder um Herstellung von bestimmten, Gerätschaften, die dann zur Daseinsvorsorge eingesetzt werden. Mhm. Okay, danke. Genau. Ähm, also die wichtigsten Regelungen finden Sie in eigentlich in drei

11:22

Paragrafen in dem Gesetz. Ähm, das Gesetz hat noch eine Menge mehr, aber die wichtigsten gesetzlichen Regelungen sind, die, Paragrafen achtunddreißig, dreißig und einunddreißig. Die basieren auf den Artikeln zwanzig, einundzwanzig und dreiundzwanzig der NIS-2-Richtlinie, die ja in, in deutsches Recht transferiert werden musste.

11:46

Ähm, da waren wir relativ spät dran. Ähm, allerdings sind wir nicht die Einzigen in Deutschland. Andere Länder haben's auch noch nicht umgesetzt. Ähm, und, da ist es ganz klar Paragraph dreißig, BSI-Gesetz, SA, bestimmt die Überwachungs- und Umsetzungspflicht des Unternehmens und

12:08

stellt das eben auf die Geschäftsleitung ab. Also das heißt, als Geschäftsführer, als, CEO, als, Gesellschafter-Geschäftsführer von, von Gesellschaften sind Sie als PersonPersönlich dafür verantwortlich, diese Sicherheits, Maßnahmen umzusetzen, und, auch zu überwachen, also deren Einrichtung zu überwachen und, die Prozesse, die dahinter

12:35

stehen, dann zu überwachen. Ähm, und welche, Bereiche, da betroffen sind, ist ganz klar. Das regelt, Paragraph dreißig. Da heißt's, es müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen getroffen werden, um die besonders wichtigen Einrichtungen und

13:00

wichtigen Einrichtungen eben entsprechend zu schützen. Und der Absatz zwei des, des Paragraphen zählt dann diese geeigneten verhältnismäßigen technischen Maßnahmen auf beziehungsweise konkretisiert das dann. Ähm, also das heißt, Sie müssen Risikoanalyse, durchführen, was Ihre Informationssicherheit betrifft.

13:23

Ähm, Sie müssen sogenanntes Business Continuity Management einführen, falls Sie das nicht sowieso schon haben. Das heißt, wenn es zum Cyberangriff kommt, wie, stelle ich sicher, dass mein Unternehmen weiter, handlungsfähig bleibt, dass die Produktion läuft, dass, die Gehälter gezahlt werden, dass die Daten, die ich habe, von möglicherweise, die personenbezogen sind, von

13:47

anderen nicht, entsprechend entwendet werden oder geschlüss, verschlüsselt werden. Ähm, die Sicherheit in der Lieferkette muss sichergestellt werden. Bitte das nicht verwechseln mit dem, Lieferkettensicherheits, Lieferkettensorgfaltspflichtengesetz. Ähm, das ist nicht das Gleiche.

14:09

Ähm, dass Sicherheit in der Lieferkette in dem, Zusammenhang meint, Sie müssen dass die IT, von vertrauenswürdigen Ressourcen kommt oder von vertrauenswürdigen Herstellern und dass sie auch entsprechend gewartet ist, dass Ihre, Software up to date ist, den neuesten Stand der Technik entspricht. Ähm, das hat aber nichts mit dem, wie gesagt, mit dem, LKSG zu tun, das ja auch sehr viel in

14:40

der Presse, ist. Ähm, das betrifft dann eher Kinderarbeit, dass sie sicherstellen, woher ihre Ware kommt, und nicht eben, der Teil, aus'm BSIEG. Ähm, Sie sollen Verschlüsselungs- und Zugriffskontrollen einrichten. Denk ich, haben die meisten eh schon, Login, Zwei-Faktor-Authentifizierung et cetera.

15:04

Und die Mitarbeiter müssen regelmäßig geschult werden. Wie gehe ich mit, Social Engineering um? Wie erkenne ich möglicherweise Social Engineer, Engineering, wenn ich angeschrieben werde und es g-steht da drin in der E-Mail: „Bitte überweise eine Million Euro, an, Kanzlei XY, weil unser CEO wurde gefeuert, und das ist jetzt sein, entsprechendes,

15:29

Gehalt, das er noch kriegt als, als Package, sollte man das möglichst nicht einfach dann die Abteilung, die Finanzabteilung ein-anweisen. Ähm, ja, das kommt ja von einer Kanzlei, die kennt man vielleicht auch noch, weil die 'n bekannten Namen hat und ich überweis dann mal eine Million dahin. Ähm, alles schon vorgekommen, kennen Sie sicher auch.

15:52

Ähm, das sind so Social Engineering, damit man eben, und die, die Verpflichtung zur Schulung, damit man eben auf solche Sachen nicht reinfällt. Und wichtig auch: Alle diese Maßnahmen, die da aufgelistet sind, müssen dokumentiert sein und sie müssen Regelmäßigkeit auf Wirksamkeit auditiert werden. Das können Sie natürlich durch Ihr eigenes Audit-Team machen, aber das können Sie auch

16:16

durch unabhängige, externe, Firmen dann auditieren lassen. Und der letzte, Artikel, beziehungsweise der letzte Paragraph, der noch wichtig ist, Paragraph einunddreißig: Wenn es dann doch zu einem Cybervorfall kommt, sind Sie verpflichtet, innerhalb von vierundzwanzig Stunden das an das BSI zu melden.

16:42

Innerhalb von zweiundsiebzig Stunden müssen Sie, wenn das schon möglich ist, den möglichen Schweregrad dieser, dieses Angriffs, dem BSI mitteilen. Das heißt, ist es beim Versuch geblieben? Hat man es rechtzeitig entdeckt? Ähm, sind keine weiteren Schäden entstanden oder ist es zum Super-GAU

17:04

System ist verschlüsselt, man kommt auf seine Daten nicht mehr, und man weiß noch gar nicht, wie groß der Schaden überhaupt, da jetzt, tatsächlich ist. Und, auch das, wenn das dann zu dem Zeitpunkt schon möglich ist, muss man innerhalb von einem Monat, nach diesem Angriff die, eine detaillierte Lu, Analyse und die getroffenen Maßnahmen, an das BSI melden, die in Zukunft einen Cyber, Vorfall verhindern

17:34

Oft ist es zu dem Zeitpunkt noch gar nicht möglich, das detailliert aufzuschlüsseln. Dann informiert man das BSI einfach dahingehend und sagt, diese Analyse ist noch nicht abgeschlossen und sobald wir das, wissen, teilen wir das auch dem BSI mit. Ähm, das, das Wichtige an der, an der, an diesen Zeiten ist einfach diese Meldepflicht innerhalb von vierundzwanzig Stunden nach Kenntnisnahme.

17:57

Ähm, bei den anderen beiden ist es ein bisschen, ja, möglich, das nach hinten zu schieben, weil man's einfach möglicherweise zu dem Zeitpunkt noch gar nicht weiß, was, was ist. Ähm, zum letzten rechtlichen Thema, auch sehr wichtig, noch von meiner Seite: Sanktionen, sind vielfältig und,

18:22

das war, was von den Sanktionen vielleicht das, äh-Die, die Datenschutzgrundverordnung ist, für Datenschutz ist, jetzt das BSI-G für die Cybersicherheit. Ähm, auch wenn man sich die, die Bußgelder ansieht, also bei besonders wichtigen Einrichtungen, die sogenannten Essential Entities, sind die Höchstbußgelder zehn Millionen oder zwei Prozent des weltweiten Jahresumsatzes und je nachdem, welcher Betrag

18:53

höher ist. Ähm, also da kann's durchaus dazu kommen, dass wir hier, Millionen Bußgelder sehen, wie wir es eben auch bei Verstößen gegen die, DSGVO sehen. Ähm, nicht so sehr in, in Deutschland tatsächlich. Da haben wir ein paar größere, Bußgelder gesehen.

19:14

Ähm, gleich am Anfang, als das DSGVO eingeführt wurde in Berlin, Wohnungsbauunternehmen vierzehn Millionen Euro, Bußgeld gezahlt für 'n Verstoß gegen Datenschutzgrundverordnung. Ähm, die größeren sehen wir in, in Ländern, in denen dann die großen amerikanischen, Gesellschaften tätig sind oder bei, Ländern, die grundsätzlich, da strenger

19:39

vorgehen, zum Beispiel in Frankreich, oder auch in Irland. Da haben wir auch schon Bußgelder im fünfzig und hundert Millionen, Euro-Bereich aufwärts gesehen. Ähm, bei den wichtigen Einrichtungen ist es ein bisschen weniger. Da sind sieben Millionen beziehungsweise eins Komma vier Million, eins Komma vier Prozent

19:55

des weltweiten Jahresumsatzes. Was aber wichtig ist, sind die sonstigen Verstöße, weil die sind einfacher zu entdecken für, die, für, für das BSI und für die entsprechenden Behörden, als jetzt ein, ein, Bußgeld, das verhängt wird aufgrund eines Cybervorfalls. Ähm, und das sind-- da geht's dann um so Sachen, um so ganz einfache Sachen und

20:22

grundlegende Sachen wie: Wir sind nicht registriert. Ähm, und da sind die Bußgelder auch empfindlich hoch, also bis zu fünfhunderttausend Euro. Ähm, im Einzelfall natürlich kann's auch geringer sein, je nachdem, wie schwerwiegend der Verstoß gewertet wird, vom BSI.

20:40

Aber, Registrierungspflicht ist halt so der, der Einstieg. Wenn man, das schon versäumt hat, dann wird's halt schwierig, vor allem, wenn die Zeit immer weiter nach hinten ruckt, rutscht, und, und man dann nach 'm halben Jahr oh, wir haben uns immer noch nicht registriert. Dann, setzt das BSI da sicher, mit an Sicherheit grenzender Wahrscheinlichkeit ein

21:03

Bußgeld dafür an. Ob das jetzt fünfhunderttausend Euro sind oder nicht, das ist dann dahingestellt, aber man sollte es möglichst verhindern. Ähm, und, zu der, weiteren, kritischen, Thematik, im, im Thema, und Sanktionen vielleicht auch noch

21:26

die, was ich ja vorhin schon angesprochen hab: Die Geschäftsleitung haftet mit dem Privatvermögen und die Gesellschaft kann auch hier nicht darauf verzichten. Das heißt, Sie haben ja, wenn Sie Geschäftsführer sind, möglicherweise eine D&O-Versicherung. Das heißt, Sie sind abgesichert für den Fall, dass ein solcher, ein solches

21:45

Bußgeld verhängt wird. Und im, in der Regel verzichtet dann die Gesellschaft darauf, den eigenen Mitarbeiter oder den, den, das Organ, also die Geschäftsleitung, zu verklagen. Das ist im Fall des BSI-G nicht not, nicht möglich. Also selbst durch Vertrag können Sie nicht, kann die Gesellschaft nicht darauf verzichten.

22:06

Sie muss dann den Geschäftsführer verklagen, dass er eben seiner, Überwachungspflicht und seiner, Einführungspflicht nicht nachgekommen ist. Und das ist natürlich dann ein erhebliches Risiko für die Geschäftsleitung. Ähm, deswegen ist das auch, extra noch mal im Gesetz festgeschrieben worden, und da sollte dann auch die Geschäftsführung wirklich darauf gedrängt werden, falls sie das noch nicht

22:31

macht, eben diese, dieses BSI, G entsprechend umzusetzen. Und, zum Abschluss vielleicht noch ganz kurz gesagt, das BSI hat auch noch durch das Gesetz weitere Befugnisse bekommen. Also es kann selbst Audits anordnen, wenn das BSI der Meinung ist, dass die eigene Überprüfung der Maßnahmen, die man da getroffen hat, nicht wirklich ordnungsgemäß

22:58

und auch nicht regelmäßig durchgeführt, wird, dann kann das BSI das selbstständig anordnen. Ähm, es kann dem Geschäftsführer die Geschäftsführung untersagen. Ähm, das ist dann wie 'ne Art Berufsverbot, für den Geschäftsführer, weil er diese Gesellschaft oder grundsätzlich nicht mehr als Geschs, Geschäftsführer auftreten darf, so lange, bis die Sicherheitsmängel behoben sind oder grundsätzlich für

23:25

fünf Jahre zum Beispiel. Ähm, und es kann, ein sogenanntes Naming and Shaming, durch öffentliche Bekanntmachung, machen. Also das heißt, wenn's jetzt, dazu kommen sollte, dass ein Unternehmen wiederholt gegen, entsprechende Regelungen verstoßen hat und auch, durch einen Cyberangriff entsprechend,

23:49

dann, angegriffen wurde, dann kann die Behörde diese Verstöße und auch diesen Cyberangriff öffentlich machen, was eine extreme Art der Bestrafung ist, halt zu, unvorhersehbaren Reputationsschäden natürlich für das Unternehmen führen wird. Ähm, aber das ist dann eine und aus meiner Sicht die wohl drastischste das BSI, dann gegen Verstöße vorzugehen.

24:19

Und auf diesem Punkt dann übergebe ich gerne an den Kollegen Zappolino.Ja, ich genau. Wir haben auch 'ne, 'ne Frage im Chat. Äh, Johannes, wollen wir die gleich beantworten? Ähm, ja.

24:40

Inwiefern ist von der Haftung eigentlich ein CIO oder ein IT Leiter betroffen? Das, das- Also das Gesetz sagt ganz eindeutig nur Geschäftsleitung. Jetzt ist natürlich das Wort Geschäftsleitung auch entsprechend Ähm, wenn der CIO jetzt Teil des Vorstands ist, dann ist es tatsächlich der gesamte Vorstand.

25:02

Dann kann der möglicherweise auch haftbar gemacht werden, wenn es eben seine Aufgabe ist, für die entsprechende Cybersicherheit des Unternehmens zu, einzustehen und dafür zu sorgen. Ähm, das ist, dann auch, auf den, auf den gesamten Vorstand natürlich, möglicherweise ausdehnbar.

25:23

Bei der Geschäftsführung ist es relativ einfach. Da ist es der Geschäftsführer, der im Handelsregister eingetragen ist. Ähm, bei einer AG ist es ein bisschen, ja weitergehend. Da kann's, dann den gesamten Vorstand, erreichen. Ja, ja. Das heißt, der, der Titel Mitglied der

25:41

Geschäftsleitung ist nicht unbedingt immer nur als Ritterschlag zu verstehen. Nein, in dem Fall sch, es ist auch ein bisschen kritisch möglicherweise. Genau. Gut, also dann nehmen wir mal den zweiten Teil in Angriff. Äh, danke Tobias, für den, für den rechtlichen Aspekt, weil der ist schon immer, in weiten Teilen nicht klar, welche, welche Tragweite

26:04

eigentlich das Gesetz jetzt letztendlich mit sich bringt. Wir als Everpure sagen okay, wir haben uns dem Thema gestellt. Ich verfolg die NIS zwei Thematik schon sehr, sehr lange und die, die Auswirkungen, die halt jetzt eben auf IT Landschaften und auch auf Unternehmungen, aber nicht nur auf Unternehmen, sondern auch auf gGmbHs, Energieversorger, Stadtwerke plötzlich hier mit

26:29

runterpuzzelt sind doch schon einige. Ja, und, es ist nicht jeder ein Großkonzern, ne. Man hat ja eben kleine Personaldecke oder ne kleine Personalmannschaften, die letztendlich alles am Laufen halten. Wir sind auch in dieser ganzen, in dieser gesamten, gesamten Thematik, ein Bruchteil,

26:49

sage ich immer. Ich sag immer, wir sind, wir können da zwei, drei Mosaiksteinchen darstellen, auch sehr wichtige, aber, es ist Gesamtkonzept, in das man sich einbetten muss. Und das, was jetzt auf alle hier so ein bisschen reinprescht, ist eben so, wo fange ich denn an? Ja. Also was ist jetzt

27:05

mein, mein, mein Leitsatz? Äh, ja, konzentriere ich mich auf die, die technischen, auf die organisatorischen Maßnahmen? Äh, im Grunde genommen muss ich beides gleichzeitig fahren. Aber ich muss halt eben auch letztendlich nachher Teams bilden, die, das Ganze umsetzen.

27:22

Ja, wenn wir heute über eine moderne IT Sicherheit sprechen, geht's heute nicht mehr nur um ein Nice to have, ja, sondern ich sag mal, gerade für besonders wichtige Einrichtungen ist es ja schlichtweg eine Pflicht. Ja, man muss Maßnahmen ergreifen, die geeignet, verhältnismäßig und vor allem Ja, und das Ziel ist klar Verfügbarkeit, Integrität und Vertraulichkeit,

27:44

der Systemlandschaft. Ja, dabei ist der Stand der Technik ein verbindlicher Maßstab. Äh, doch die Frage ist halt immer, was bedeutet das konkret für den operativen Alltag, ja? Es beginnt meistens bei der Strategie, ja.

27:57

Wir brauchen ein fundiertes Konzept zur Risikoanalyse. Es gibt den ISO einunddreißigtausend Standard. Aber im Grunde genommen ist es manchmal auch vielleicht ne, ne Gap Analyse. Wo stehe ich heute, was tue ich schon? Ähm, wie weit hilft mir das?

28:11

Und, was muss ich vielleicht noch zusätzlich einführen und machen, um da einfach besser gewappnet zu sein für die ganze, Lage, die dann halt eben greift in einem Ernstfall, ja. Äh, im Grunde genommen nach ITIL ist es dann ein Incident Management, ja. Äh, man muss in der Lage sein, Sicherheitsvorfälle schnell

28:33

und präzise zu bewältigen. Ja, dazu gehört halt eben eine lückenlose Strategie der Betriebsaufrechterhaltung, ja. Äh, und dazu gehört halt ein professionelles backup Management und ich sag mal, ein krisenfestes Notfallkonzept. Ähm, wer jetzt zum Beispiel aus dem Finanzsektor kommt und den Banken, da wird das

28:54

immer getan, ja. Ich sag mal, Basel II war da der, der Anlasspunkt, mehr in, in der Richtung nachher zu tun. Aber letztendlich technisch und organisatorisch kann man sich eigentlich auf, ich sag mal, drei, vier Säulen stützen, ja. Ein Schwachstellenmanagement, ja, gerade mit SOA oder mit SIEM Systemen, Dinge zu

29:18

überwachen, zu monitoren, die dann nachher vielleicht auch für die Forensik zuständig sind. W-w-wir zeigen dann nachher auch ein Beispiel. Ähm, klar, die gezielte Schulung und Sensibilisierung der Mitarbeiter, das ist si, die, die kritische Komponente, dass man das halt wirklich auch umsetzt.

29:34

Also wir bei uns im Unternehmen, bei Everpure, wir durchlaufen das einmal im Jahr. Äh, wir werden auch von der IT immer wieder mal mit, ich sag mal, Fake E-Mails bombardiert, und man sieht dann, wenn dann ein Mitarbeiter draufklickt: "Oh, wir haben dich gefangen, bitte noch mal 'ne, 'ne Schulung, Sensibilisierungsschulung machen. Schau wirklich, sinnvoll auf deine E-Mails und nimm nicht alles für bare Münze." Ja, und ist

30:02

eine Maßnahme, sag ich mal, die wir halt für uns als Unternehmen da umsetzen, um zu sagen, wie, wie können wir da die Sensibilisierung der Mitarbeiter, forcieren? Natürlich ist es auch das Thema Einsetzen von kryptographischen Verfahren oder Multi Faktor Authentifizierung, ja. Unsere Produkte betten sich da mit ein oder bringen das schon von Haus aus mit.

30:23

Und, kurz gesagt, ja, man braucht dieses gesamtheitliche Schutzkonzept, das einen nicht nur absichert, sondern halt widerstandsfähig macht, ja. Und das war ja eigentlich die Intention der Europäischen Union zu sagen, wir müssen das Thema Cyber ResilienzHerbeiführen. Ja und wenn man sich mal jetzt eben die Historie in der IT anschaut, ja, man kam von

30:43

der Hochverfügbarkeit, ja, man hat eingeführt, um eigentlich Hardwarefehler, zu vermeiden. Ja, dann kam eben das Thema backup, was viele einfach als, na ja, ich mach's halt, damit ich drauf zurückgreifen kann, sollte es mich treffen, in, in Form von periodischen Kopien oder das dann mit 'ner Auslagerung von Tapes, die auch immer noch sinnig ist.

31:08

Wir haben, auch hier bei Everpure an einem Mittelständler das mal erleben dürfen vor fünf Jahren, was eben so ein Cyberangriff bedeutet, in welcher Vehemenz das dann durchgeführt worden ist mit einer, sag mal, Verweildauer von Hackern von fast knapp zweihundert Tagen in den Systemen, bis sie letztendlich alles gekapert hatten, alles gelöscht und, administrativ so weit die Hoheit hatten, sie das Unternehmen lahmgelegt haben mit,

31:40

mit 'ner Lösegeldforderung in Form von knapp zwei Millionen Euro in Bitcoins, die der Kunde dann aber nicht bezahlt hat. Schlauerweise, was man auch eigentlich immer, geraten bekommt, ob das jetzt BKA ist in der Zwischenzeit, eben nicht auf Lösegeldforderungen einzugehen, sondern es eben zu melden. Ja, das ist ja auch ein Teil dieser

32:03

NIS-2-Geschichte, dass man als, als Staat mehr Kenntnis darüber bekommt, was passiert denn da draußen. Was wir halt eben dann auch in den 2010ern gesehen haben, war eben, ja, die Bedrohung von Naturkatastrophen. Die haben wir immer wieder mal mit Überschwemmungen und Hochwassern, die auch

32:21

vielleicht hier und da mal zu, zu einem Umdenken führen. Ne? Wir hatten das jetzt hier bei einer großen Bundesbehörde, die, ein Rechenzentrum stand hat in, in der Stadt, wo wir eigentlich immer von ausgingen, dass die hochwassergeschützt ist. Ja, aber das hat dann eben vor, jetzt vor drei Jahren dazu geführt, dass es halt eben sich

32:41

gezeigt hat, dass auch dieser Stadtteil plötzlich, durch eine neue Art der, der Hochwasser, äh,situation letztendlich das Rechenzentrum mit fast dreißig Zentimeter Wasser gefüllt hat. Ja. Und da fängt jetzt au-- fangen jetzt auch wieder Konzepte an zu greifen, zu sagen: „Mensch, wollen wir auf einen dritten Standort gehen?

33:01

Wenn ja, wo? Äh, wie sichern wir das ab?" Und eben das Thema Cyber resilience, die, ich sag mal, mit Beginn von Corona eigentlich, stärker zugenommen hat. Weshalb nimmt es zu? Es gibt organisierte kriminelle Banden.

33:17

Ne? Man kann dem Carsten Maiwirth vom BKA gern mal folgen auf LinkedIn. Der postet da drüber. Äh, es gibt auch von dem BKA eine Website, die nennt sich Operation Endgame, wo man mal sieht, wie solche Hackergruppierungen systematisch, sage ich mal, Unternehmungen angreifen.

33:37

Äh, und die machen ja auch eigentlich keinen Halt davor. Und was es halt eben zeigt, ist, dass diese Attacken immer ausgefaltert werden auf der einen Seite. Also es bleibt immer so ein Katz-und-Maus-Spiel und, es wird immer einfacher. Ja?

33:55

Man kann heute ins Darknet gehen und dann sozusagen Denial-of-Service, Systeme buchen, ja, und, ich sag mal, Cybercrime as a Service, für, für jemanden, der dann wenn da nur einer umfällt und mir das Lösegeld bezahlt, hat sich die Investition rentiert", sodass es halt eben zu so ganz verquickten Szenarien kommt. Um aber das Risikomanagement da zu verstehen, ja, ist es so: Der Übeltäter

34:26

Tempo, aber sie haben die Macht und sie haben immer das Sagen. Und der Unterschied zwischen einem Cybervorfall und, ich sag mal, einer physischen, umweltbedingten Katastrophe besteht eigentlich in der Veränderung hinsichtlich der sogenannten Wiederherstellungszeit. Der, der disruptive Event, so wie hier eingezeichnet ist, das ist der Moment,

34:49

sagt: „Mensch, da gibt's einen Vorfall. Jetzt muss ich mich entscheiden, auf, welchen Punkt will ich zurückgreifen?" Ne? Das ist der RPO, Recovery Point Objective, also den Punkt der Wiederherstellung. Und dann gibt's die RTO, die Recovery Time Objective, also das SLA. In welcher Zeit will ich die Anwendung, die Daten oder vielleicht,

35:17

eine Kombination dessen wiederhergestellt haben, um wieder oper, operabel zu sein, ja? Früher war das einfach so: Okay, diese RTO-Zeit ist wichtig, ja, aber wir sehen halt zunehmend mit diesen Cyberangriffen, dass da halt plötzlich Zwischenschritte dazukommen, die da heißen: Sind die Daten denn verlässlich? Sind die immer noch, sauber?

35:44

Also kann ich die mühelos wiederherstellen oder steckt da immer noch ein Stück weit, infizierter Code auf den Daten, der letztendlich den Angreifer wieder in die Lage versetzt, wieder die Daten zu verschlüsseln? Also das sind Punkte, die, das Ding in die Länge ziehen, ja. Und auf der einen Seite für Industrieunternehmen ist das ganz klar: Zeit

36:07

ist Geld. Und was wir auch schon gesehen haben, waren Cyberangriffe, die einen Automobilzulieferer hier in Baden-Württemberg vor Jahren zum Stillstand gebracht haben. Ja, der hat für drei Tage lang das Werk schließen müssen, viertausend Mitarbeiter nach Hause schicken.

36:24

Das sind schon wirtschaftliche Schäden, die, die sind nicht unerheblich, ja, ich sag mal, inklusive der, der Verlust der Reputation auf der einen Seite, ja, aber eben auch der Verwundbarkeit zeigen halt eben auf, dass man da für sich klar definieren muss, wie schnell will ich dann zum Beispiel wiederherstellen. Ja. UndDie Diskussion, die man da halt führen muss,

36:47

die sind einfach, mehrschichtig, ja, weil man hat ja auch unterschiedliche Verteidigungsebenen. Ähm, dann ist die Frage: Auf welche Art kann ich denn die Anwendung wiederherstellen? Ja, sind backups die richtige Lösung? Ähm, kann ich TiB an Daten zeitnah wiederherstellen?

37:07

Ähm, was ist mit der disaster recovery? Ja, reicht das, wenn ich auf einen anderen Standort gehe oder nehme ich unterschiedliche Maßnahmen? Wir haben da unterschiedliche Technologien, die man da einsetzen kann, um letztendlich, da die Sicherheit herbeizuführen.

37:25

Und die Wiederherstellung halt so nach einem Cybervorfall, die kann halt wirklich auch, Tage in Anspruch nehmen und am, am Beispiel dieses Mittelständlers, das ging wirklich über mehrere Monate, weil das dann so weit ging. Man musste alles von Grund auf, ich sag mal, resetten in der Netzwerkinfrastruktur, auf den, Perimeter-, Security-Komponenten, Firewalls et cetera.

37:53

Das ganze Patch-Management, aber auch der, ich sag mal, der Bedarf, das wieder ans Fliegen zu kriegen, hat aufgezeigt, wie anspruchsvoll das nachher ist mit der Betriebsmannschaft, ja. Also Überstunden, Wochenendeinsätze über mehrere Monate hinweg, ja, das dann auch eben auch den, ich sag mal, die Belastbarkeit der Mannschaft eben an, ich sag mal, an den Rand des Wahnsinns treibt, wenn man Dinge halt eben nicht, letztendlich übt.

38:22

Und die umfassende Wiederherstellung hier halt, kann halt auf unterschiedliche Verfahren beruhen, ja. Klar, mit diesem Thema Snapshots ist eine Möglichkeit, ja, da greife ich dann halt auf Dinge zurück, die, wie, ich sag mal, wie so ein Foto, gemacht werden. Ich habe aber eben auch dann die Möglichkeit, diese, Dinge zu schützen, ne.

38:49

Das ist ein, ein Merkmal, den, das wir halt zur Verfügung stellen. Da komme ich nachher noch mal drauf. Und, was wir sehen, ist die Überführung in sogenannte isolierte Wiederherstellungsumgebung, ja. Und so ein Isolated Recovery Environment, ich sag mal, ist wie so ein digitaler

39:09

Hochsicherheitsbunker, ja. Ähm, weil in einer Zeit, in der Ransomgriff-Angriffe immer intelligenter werden, reicht es einfach nicht, ein backup zu haben, ja. Ja, warum? Na, weil moderne ransomware sich oft wochenlang im Netzwerk versteckt und dabei auch die ganz normalen Sicherungskopien

39:26

infiziert oder verschlüsselt, ne. Und, das mit der Isolierung oder oft als Air-Gap bezeichnet, ist halt ein Herzstück, mit dem man dann die Dinge umsetzen kann, ja. Und die Umgebung ist wirklich physisch oder sogar auch logisch komplett vom restlichen Unternehmensnetzwerk getrennt.

39:45

Es gibt keine dauerhafte Verbindung, ja, sondern nur in fest definierten Zeitfenstern öffnet man so einen Spalt, um Daten da reinzuspiegeln und danach sofort das wieder zu verriegeln. Ich sag mal, einmal im Bunker greift das Prinzip der Unveränderbarkeit, ne, die sogenannte Immutability, wie man das im Englischen nennt.

40:05

Und diese Daten können dann für einen bestimmten Zeitraum weder gelöscht noch modifiziert werden. Ja, selbst wenn ein Administrator die höchsten Administrationsrechte im Hauptsystem erlangt, ne, hat er nicht die Möglichkeit, das, zu zerstören. Ja, und, und so ein IAE ist im Grunde genommen ein passiver Tresor, ne, aber es ist eine aktive Testumgebung auf der anderen Seite, ne,

40:29

weil da kann man, bevor man die Daten wieder zurückspielt, das normal, ich sag mal, in so einer Quarantänezone hochfahren und auf Herz und Nieren überprüfen. Äh, man kann forensische Analysen durchführen, und der Scan nach Malware durchführen, ne. So stellt man dann auch sicher, dass man nicht versehentlich den Virus wiederherstellt, der

40:50

einen gerade lahmgelegt hat. Ja, kurz gesagt, wenn das normale backup für den schnellen Alltagsschutz da ist, ist das IAE die letzte Verteidigungslinie. Äh, es garantiert eigentlich auch, dass man halt im Totalausfall immer eine saubere, vertrauenswürdige Kopie hat, um die Geschäftsdaten dann wiederherzustellen, mit

41:08

der man dann halt arbeiten möchte. Kommen wir mal auf den Punkt Backup-Management. Ja, wenn man sich jetzt das NIS-2-Gesetz anschaut, wir sind ja vorhin auf die Paragrafen so ein bisschen eingegangen, ja. Das sind wirklich Auszüge aus dem, aus dem Gesetz selber, ja.

41:27

Und, da haben wir uns jetzt überlegt, wie präsentieren wir das heute, ja. Und, ein Produkt ist halt eben das, das Produkt FlashBlade von Everpure. Das, als ich bei der Firma angefangen hab, hab ich gesagt: ich gesagt: „Okay, ein all-flash-System zur Datensicherung? Äh, man kann ja das Geld zum Fenster rauswerfen." Aber ich wurde da eines Besseren

41:50

belehrt, denn die, ransomware-Angriffe, als die in dem Jahr, als ich angefangen hab, zugenommen haben, haben aufgezeigt, dass man letztendlich immer mehr Datenmengen, zurücksichern muss, ja. Also das heißt, wie schnell kann ich Daten wegschreiben, aber wie schnell kann ich sie auch letztendlich lesen?

42:09

Weil dieses, Fenster mit diesem WRT und mit dieser Recovery Time Objective möglichst gering gehalten werden wollen. Denn, jeder kann sich ausrechnen für die Unternehmung, wie viel Minuten ein Jahr hat und jede Minute Ausfall, gibt ja einem statistischen Mittelwert, des Firmenumsatzes oder des Unternehmensumsatzes, den ich dann halt wirklich beziffern kann.

42:37

Und wenn ich dann halt eben zur Wiederherstellung eine Woche oder zwei brauche oder dann vielleicht auch nur, Minuten oder Stunden-Das ist dann schon erheblich, n erheblich anderer Ansatz, den man da dann halt fahren kann. Den zweiten Punkt, den wir da sehen, ist natürlich eben diese SafeMode Funktion, ne? Also dass Daten wirklich unveränderlich sind und nicht verändert werden können durch

43:03

Administrati, administrative Zugriffe, dass die halt eben nicht 'n Hacker in die Lage versetzen, ich sag mal, alle Snapshots zu löschen. In diesem Beispiel von diesem Mittelständler war das so. Die hatten eine Schwachstelle im Microsoft Active Directory gefunden, haben sich 'n Benutzer angelegt und haben dann mit diesem Benutzer administrative Zugriffe durchgeführt

43:24

auf den Anlagen. Sind zum Beispiel auf das backup System, sind da rein, haben die backups gelöscht die noch in der Tape Library waren und dann auch die Snapshots auf dem Primärspeicher gelöscht, um so, ich sag mal, dem Kunden den sicheren Boden unter den Füßen schon mal wegzuziehen und dann zu sagen, okay, jetzt, jetzt hat der Kunde

43:49

nahezu keine Chance, auf irgendwas zurückzugreifen. Jetzt kapere ich ihn und jetzt verschlüssel ich ihn, weil jetzt hab ich ihn so weit an die Wand gedrückt, dass ihm ja nichts anderes übrig bleibt, als letztendlich mir, die, die ransomware-Forderung zu bezahlen. Ne andere Möglichkeit, die halt unsere Produkte von Haus aus mitbringen, ja, ist die

44:13

sogenannte Data Address Encryption. Ja, also alle Daten, die auf unseren Systemen landen, die werden halt, physikalisch verschlüsselt. Ähm, damit stellen wir halt sicher, dass ruhende Daten auf dem System, niemals durch Stehlen eines Datenträgers, irgendwie gelesen werden können.

44:33

Ne? Das ist einfach so 'n Thema, dass man sagt, hier, da brauche ich auch keinen Festplattenvorwurf im Rahmen einer Wartung, sondern, das, was ich da hab, kann ich auditieren. Also wir geben auch CISOs gern immer 'ne, 'ne technische, Ausarbeitung, wie denn genau unsere Datenverschlüsselung funktioniert.

44:53

Ähm, wir gehen jetzt auch strategisch her und, und öffnen uns und sagen, "bring Ja, also dass man zum Beispiel, 'ne Einflussnahme hat auf die Verschlüsselung der Daten, die auf unseren Systemen liegen, ne, sodass der Schlüssel beim Kunde in der Hand liegt und nicht durch, das System generiert wird. Und, im letzten Punkt gehen wir so 'n bissl ein auf das Thema Zugriffskontrolle, ne,

45:18

also authentifizieren, autorisieren, aber eben halt eben auch viel auditieren. Ja, wir setzen da sehr viel drauf, in dem Bereich Auditierung, was passiert auf den Systemen, ja? Wir machen uns da sehr viel Gedanken, weil die Systeme schicken 'ne Telemetrie nach Hause. Kann ich anhand bestimmter Verhaltensmuster Dinge erkennen und vielleicht

45:40

den Kunden dann informieren? Ähm, 'n Beispiel hier sind zu sagen, okay, ich, führ Dinge ein wie Single Sign on, ja, um solche Maßnahmen zu unterwandern und zu sagen, wer loggt da auf das System ein? Ist das nur ein Benutzername, Passwort oder ist es dann vielleicht doch was, Mehrstufiges,

46:03

das dann halt 'n Angreifer nicht so schnell kapern kann? Das ist der Baustein, backup Management, um's da bissl abzuschließen. Ich wollte jetzt noch mal auch in Anbetracht der Zeit auf das Thema SOAR und, und SIEM so'n bisschen eingehen, ja. SIEM, ist so'n Thema, es steht heut unter Druck, ne, weil ob,

46:28

das NIS-2 Gesetz sagt, man sollte es tun. Ähm, aber was wir jetzt zum Beispiel sehen, wir hatten mit 'nem Stadtwerk 'ne Diskussion, die dann gesagt haben, okay, wie, wie lang halten, also wie lange bewahren wir denn die Daten, die SIEM Daten denn jetzt auf? Äh, machen wir das, um Echtzeit auf Log Files zu reagieren?

46:49

Also im Log File machen sie eins: Äh, sie, sie gehen her und protokollieren Ereignisse auf den jeweiligen Einzel-IT-Systemen, führen die dann zusammen und haben 'n Stück Software, das da kontinuierlich, feststellt, wer welcher Benutzer macht was auf dem System. Ähm, es wird gerne benützt nachher auch bei forensischen Analysen. Das haben wir damals bei diesem Mittelständler gesehen, als dann die

47:15

und das BKA mit 'ner, mit 'ner, ich sag mal, Spezialeinheit da waren und sagen: "Mensch, können wir dann irgendwelche Log Files mal auswerten, um den Angriff zu rekonstruieren? Ne, weil das der einzigste Weg ist, um festzustellen, Mensch, an dem Tag um die Uhrzeit auf der Komponente, hat letztendlich der Angriff stattgefunden und das wollen wir, dann letztendlich, verstehen, von wo aus sind die dann weitergegangen.

47:43

Ja, und was wir halt sehen, dass solche Systemumgebungen relativ viel Daten erzeugen. Äh, und wenn man sich das mal heut anschaut, dann sind da hundert Server mit sechzig Tage Logs, sind mal locker sechs TiB Datenvolumen. Äh, das können Sie sich jetzt hochmultiplizieren, wie viel physikalische oder virtuelle Server Sie haben, weil egal ob das Gerät physisch oder virtuell dasteht, es

48:11

erzeugt einfach die Logdaten. Wenn Sie das dann noch ausweiten auf die Clients, also auf die Laptops und die Desktops, die Sie im Unternehmen dann vielleicht haben, dann werden das sehr schnell sehr viel Datenmenge, die Sie halt eben mit 'ner hohen Ingestrate auf irgendeine Plattform schieben wollen, ja.

48:30

Ähm, und auf der anderen Seite sagt man immer, ja, wenn alles andere fällt, müssen die Logs noch da sein, zumindestens für die Forensik. Von dem her ist es dann sinnig, auch sich da Gedanken zu machen, ja. Wir haben halt eben mit 'ner Plattform, mit der wir sowohl die Datensicherung machen als auch jetzt die Diskussion führen, ja, wenn ich da die Datensicherung mache, will ich da zum

48:54

Beispiel auch 'n zweiten Anwendungsfall drauf bringen im SIEM Kontext, weil wir schonEinige Beispiele auch im, abgelaufenen Kalenderjahr mit, einigen Verwaltungen realisiert, die haben gesagt: "Komm, wir wollen das aufbauen. Uns ist das ein wichtiger Ansatz", weil wir halt eben bei dieser Echtzeit, Maßnahme letztendlich auf eine Systemanlage setzen wollen, die uns in die Lage versetzt,

49:23

das damit umzusetzen. Ja, und damit würde ich schließen wollen, ne. Äh, und dann denke ich, haben wir noch einen Moment Zeit, um Fragen zu beantworten. Herzlichen Dank, meine beiden Herren. Äh, war sehr interessant.

49:41

Ein paar Fragen beziehungsweise Zeit für ein paar Fragen haben wir. Ähm, eine, eine erst mal Neugierdefrage, meinerseits: Diese schnelle Wiederherstellung, die fast zu gut klingt, um wahr zu sein, von, von euren Systemen, ist die eigentlich nur dem Umstand zu verdanken, dass eure Speicher ausschließlich mit Flash gebaut sind oder steckt ein Verfahren darunt, dahinter?

50:13

Nee, das passiert wirklich halt, weil halt das, Speichermedium, Flash-Technologie ist, ja. Ähm, wie gesagt, die Systeme waren für'n, für eigentlich Data Lakes und, schnelle Datenanalyse vorgesehen und ein Nebeneffekt war vor, vor sieben Jahren, dass wir gesehen haben, Mensch, man kann's halt dafür einsetzen, weil ich eben mit sehr viel Durchsatz eine große Datenmenge aus dem System halt auch wieder herausziehen kann, ne.

50:39

Das ist einfach auch geschuldet der Tatsache, Backup-Architekturen haben eben, historisch einen anderen Hintergrund gehabt. Das war einfach nur, ich sichere etwas weg und, hoffe, niemals drauf zurückgreifen Es gab nie ein SLA, das da greifen musste, wo dann gesagt hat, hey, ich Tape Library innerhalb von, zwei Wochen oder so fünfhundert Terabyte

51:05

wieder zurückspielen, ne. Äh, ich sage immer, es sind wichtige Bausteine. W-wenn man so was hat mit so einer Tape Library, dann sag ich, dann fügen wir ein System dazwischen ein, das halt eben schnell lesen und schnell schreiben kann, aber eben auch eine Tape Library weiterhin, die Daseinsberechtigung hat, weil wir eben

51:24

physisch Laufwerke, auslagern können, ja. Weil das immer noch Sinn macht, ob das Naturkatastrophen sind oder dann vielleicht auch so weit kompromittierte Dinge, dass ich dann das in einen clean-room bringen kann, ja, wo ich dann weiß, okay, da habe ich zumindestens noch einen Datensatz, wo ich weiß, der noch, der noch wirklich sauber ist und, und, so benutzt werden kann, dass ich

51:51

zumindestens als Unternehmung wieder in 'ne, in 'ne Situation komme, um wieder sauber zu starten. Mhm. Ja. Ähm, eine Frage bekommen wir rein: Äh, wenn eine Schadsoft, ransomware wirklich seit zweihundert Tagen im System ist, dann müsste ich ja immutable snapshots für ebenfalls zweihundert Tage vorhalten.

52:12

Genau. Wie soll ich das bezahlen? Das ist, ein Konzept. Also, d-das ist das, was wir bei diesen Advanced Persistent Threats gesehen haben, ja. Also d, wirklich die ausgefeiltesten Angriffsszenarien. Da ist die typische Verweildauer zwischen hundert und zweihundert Tagen.

52:29

Äh, was wir machen, ist ein sogenanntes Snapshot Offloading, ja, wo ich dann sage, okay, ich mache das dann nur noch wochenweise und ich heb dann wochenweise haben unterschiedliche Vorhaltezeiten in unseren beiden Produktreihen. Wir haben einmal ein, ein Produkt, das nennt sich FlashArray, das so als Primärstorage funktioniert.

52:48

Da kann ich dann SafeMode Snapshots machen. Die hebe ich typischerweise vierzehn Tage, maximal dreißig Tage auf, mach dann ein Snapshot Offloading, konsolidier das auf 'n FlashBlade und da ist die Vorhalte, die kann ich dann auch noch mal schützen. Die kann ich dann eben für bis zu vierhundert Tage mit so 'nem, Timer versehen, dass sie da

53:07

dann einfach geschützt bleiben. Ich sage immer, das ist eine Strategie, die jeder für sich entscheiden muss. Ich kann auch sagen, okay, ich lagere dann auf Tape aus und muss mir dann halt überlegen, welche zeitliche Komponente bedeutet das, ja. Also wir sagen, das ist jetzt nicht der Allheilsbringer, alles draufzulegen.

53:26

Klar, es hat einen gewissen Preispunkt, aber ich sag immer nur Kunden, Sie müssen für sich entscheiden, was ist denn dann das finanziell Machbare auf der einen Seite und, was, was kostet's dann die Unternehmung am Ende des Tages, ja. Ich hab das auch bei einer, bei 'nem Stadtwerk dann gesehen, als die dann angegriffen worden sind, ne. Da hat die Abteilungsleiterin mir gesagt: „Wer

53:51

soll denn uns angreifen?“ Ja, zehn Monate später war's dann so weit. Und dann standen die Bürgerdienste, ja. Und dann war plötzlich 'ne ganz andere Aufmerksamkeit da. Und da hat man gesagt: „Okay, ja, okay, das kostet jetzt so und so viel, ja. Ist ein sechs- oder siebenstelliger Betrag.“ Ähm, der war dann plötzlich unwichtig, weil

54:10

der Reputationsschaden dann für den Landrat so groß war, dass er gesagt interessiert mich nicht, ich möchte das nicht noch mal haben", ne. Es ist wie mit so einer Krankenversicherung. Äh, die Frage ist, wann greift sie? Oder, oder brauche ich eine?

54:26

Brauche ich keine? Ja, zahle ich dann das aus eigener Tasche in dem Moment, wo es mich kneift? Ich hab da kein Patentrezept dafür, ja. Wo ich kann nur sagen, m-man muss es in Szenarien bringen und die durchspielen und dann eben mit der Geschäftsführung sinnhaft diskutieren.

54:44

Äh, und dann ist es halt 'ne Risikoanalyse, die man da dann durchführt und sagt: Wollen wir das Risiko tragen? Ja oder nein. Okay, meine Herren, wir haben die Stunde voll. Vielen herzlichen Dank, für die sehr interessanten Ausführungen. Ah, vielleicht nehmen wir doch eine- Ja, also- Eine letzte technische Frage, die siehst du

55:06

auch grade. Wenn, wenn wir die Telemetrie nach Hause schicken, wir haben da jetzt seit 'nem Vierteljahr ein paar Dinge in Pure1, so nennt sich die, Plattform, wo die Telemetrie der Systeme, für 'n Kunden dreihundertfünfundsechzig Tage aufgehoben wird. Wir machen da jetzt sehr viel.

55:24

W-wir sagen, okay, an welcher Anomalie können wir's denn feststellen? Ja, ist es, in dem Moment, wo bestimmte Volumes gelöscht werden oder wo halt bestimmte Snapshot, administrative Zugriffe hergehen und dann anfangen, 'ne ganze Reihe von Snapshots zu löschen, wo wir dann sagen, jetzt geht 'ne Alarmierung mal raus an die Administrationsebene, die da Zugriff drauf hat, um zu sagen: „Mensch, da

55:51

Guck da mal rein, weil wir wissen jetzt nicht, ob das das normale Verhalten darstellt", ja. Mhm. Wunderbar. Herzlichen Dank euch zwei und natürlich unseren sehr, sehr aufmerksam zuhörenden Zuschauern. Ähm, war alles sehr interessant und, wir wünschen allen viel Glück

56:10

mit ihrer NIS-2-Umsetzung. Äh, danke noch mal an euch und bis zum nächsten Mal. So. Danke.

Regulatorischer Druck transformiert IT-Entscheider zu Risikomanagern der Führungsebene. Rechtliche Vorgaben übersetzt in harte Architekturanforderungen für die Enterprise Data Cloud. Diese Webinar-Aufzeichnung liefert technische Best Practices zum Schutz vor persönlicher Haftung.

Der regulatorische Rahmen von NIS2 erzwingt ein grundlegendes Umdenken in der IT-Governance. Die technische Härtung der Dateninfrastruktur dient nicht mehr nur der reinen Business Continuity, sondern fungiert als primärer Nachweis zur Haftungsminimierung des Managements.

Diese Webinar-Aufzeichnung analysiert das Fallbeispiel an der Schnittstelle von IT-Governance, Recht und Datenplattform-Architektur. Sie verdeutlicht praxisnah, wie technologische Resilienz und nachweisbare Wiederherstellungsfähigkeit zur tragenden Säule des modernen Corporate Risk Managements werden.

Agenda: Kerninhalte der Aufzeichnung

Strategischer Rollenwandel: Empirische Analyse zur Transformation des IT-Entscheiders vom operativen Prozess-Ermöglicher zum steuernden Risikomanager.
Das Governance-Schutzschild: Technische Mechanismen auf Datenebene zur Absicherung geschäftskritischer Systeme und zur Haftungsminimierung für das Management.
Recht trifft Architektur: Konkrete Übersetzung juristischer Pflichten in funktionale, prüfbare Muster für Backup, Recovery und Auditierung in der Enterprise Data Cloud.
Gelebte Cyberresilienz: Technische Best Practices und Erfahrungswerte aus dem NIS2-Infrastrukturalltag zur plattformübergreifenden Härtung kritischer Datenströme.

Continue Watching

* indicates a required field.

We hope you found this preview valuable. To continue watching this video please provide your information below.

Diese Seite ist durch reCAPTCHA geschützt und es gelten die Datenschutzbestimmungen und Nutzungsbedingungen von Google.

{"items":[{"sourceType":"field","htmlId":"FirstName","placeholderText":"Vorname:","label":"Vorname:","valuesDropDown":[],"resourceName":"item"},{"sourceType":"field","htmlId":"LastName","placeholderText":"Nachname:","label":"Nachname:","valuesDropDown":[],"resourceName":"item_832259886"},{"sourceType":"field","htmlId":"Email","placeholderText":"Email:","label":"E-Mail geschäftlich:","valuesDropDown":[],"resourceName":"item_1226277466"},{"sourceType":"field","htmlId":"Phone","placeholderText":"Telefon:","label":"Telefonnummer:","valuesDropDown":[],"resourceName":"item_1083607498"},{"sourceType":"field","htmlId":"Company","placeholderText":"Firma:","label":"Firma:","valuesDropDown":[],"resourceName":"item_407296633"},{"sourceType":"field","htmlId":"Title","placeholderText":"Funktion:","label":"Stellenbezeichnung:","valuesDropDown":[],"resourceName":"item_1536030190"},{"sourceType":"field","htmlId":"Country","placeholderText":"Land:","label":"Land:","valuesDropDown":[],"resourceName":"item_1919726167"},{"sourceType":"field","htmlId":"sessiontime","placeholderText":" Wählen Sie Ihre Wunschzeit:","label":"Gewünschte Uhrzeit auswählen:","valuesDropDown":[],"resourceName":"item_1328836745"},{"sourceType":"field","htmlId":"Description_Other__c","placeholderText":"Interessenbereich","label":"Interessenbereich","valuesDropDown":[],"resourceName":"item_107231206"},{"sourceType":"values","htmlId":"Description_Other__c","valuesDropDown":[{"key":"Choose one","text":"Bitte wählen Sie eine Option"},{"key":"VMware and Virtualization","text":"VMware und Virtualisierung"},{"key":"Cloud or Hybrid Cloud Solutions","text":"Cloud- oder Hybrid-Cloud-Lösungen"},{"key":"AI and Analytics","text":"KI und Analytics"},{"key":"Data Protection and Cyber Resilience","text":"Datenschutz und Cyber-Resilienz"},{"key":"Databases and Business Applications","text":"Datenbanken und Geschäftsanwendungen"},{"key":"All Other Sales Inquiries","text":"Sonstiges"}],"resourceName":"item_1853297185"},{"sourceType":"field","htmlId":"Question","placeholderText":"Wie können wir Ihnen helfen?","label":"Wie können wir Ihnen helfen?","valuesDropDown":[],"resourceName":"item_2107803381"},{"sourceType":"checkbox","htmlId":"Explicit_Opt_in__c","description":"\u003cp\u003eDurch das Aktivieren dieses Kästchens ermächtige ich Everpure, Inc. und seine verbundenen Unternehmen („Everpure“) sowie seine autorisierten Partner, meine personenbezogenen Daten zu verwenden, um Informationen und Updates über Produkte, Services, Umfragen und Veranstaltungen von\u0026nbsp;Everpure zu erhalten.\u003c/p\u003e\r\n\u003cp\u003eDie von Ihnen zur Verfügung gestellten Informationen werden in Übereinstimmung mit den Bedingungen der\u0026nbsp;\u003ca href\u003d\"/content/purestorage-com-live/de_de/privacy.html\" target\u003d\"_self\"\u003eDatenschutzbestimmungen\u003c/a\u003e von\u0026nbsp;Everpure verwendet.\u003c/p\u003e\r\n","valuesDropDown":[],"resourceName":"item_713216797"},{"sourceType":"ccpa","htmlId":"ccpa_notice","description":"\u003cp\u003eEverpure\u0026nbsp;verwendet die von Ihnen übermittelten persönlichen Daten (einschließlich Name, Telefonnummer, E-Mail-Adresse, Unternehmen, Stellenbezeichnung, Ort im Formular), um Ihnen relevante Informationen bereitzustellen und bei der Bearbeitung von Bestellungen zu helfen, die Sie über\u0026nbsp;Everpure oder unsere Partner aufgeben. Indem Sie auf „Senden“ klicken, stimmen Sie der Weitergabe dieser persönlichen Daten an\u0026nbsp;Everpure und unsere Partner sowie an Dritte zu.\u003cbr\u003e\r\n\u003cbr\u003e\r\nSie haben das Recht, die Löschung Ihrer persönlichen Daten zu verlangen, sowie das Recht, den Verkauf Ihrer persönlichen Daten abzulehnen.\u0026nbsp;\u003ca href\u003d\"/content/purestorage-com-live/de_de/privacy.html#ccpa\" target\u003d\"_self\"\u003eDatenschutzerklärung\u003c/a\u003e\u003c/p\u003e\r\n","valuesDropDown":[],"resourceName":"item_547565321"}]}

Ihr Browser wird nicht mehr unterstützt!

Ältere Browser stellen häufig ein Sicherheitsrisiko dar. Um die bestmögliche Erfahrung bei der Nutzung unserer Website zu ermöglichen, führen Sie bitte ein Update auf einen dieser aktuellen Browser durch.