NIS2 und eIDAS Update

00:00:10: Herzlich willkommen beim TeleTrustPodcast.

00:00:14: Mein Name ist Carsten Fossel und heute haben wir zwei Themen, einmal das Thema fünf Monate NIST II und ja was sind vielleicht die ersten Erkenntnisse und Handlungsempfehlungen die sich daraus ergeben haben?

00:00:29: Das zweite Thema ist man könnte sagen ein kleines Update.

00:00:33: Wir hatten schon öfters das Thema der EIDAS.

00:00:36: auch da sind ja schon wieder ganz viele Dinge passiert Und da wollen wir mal kurz hin gucken und aufscheinen.

00:00:42: Ja, was ist passiert?

00:00:44: Wie immer kurz nochmal ein paar Informationen zum TeleTrust oder auch Bundesverband IT.

00:00:51: Sicherheit beschäftigt sich ja mit vielen Themen eben genau um das Thema IT Sicherheit.

00:00:57: die Bewegung der Geschwindigkeit glaube ich gerade bei den Themen nimmt wahnsinnig am Fahrt auf weil natürlich auch Themen wie die AI hier noch mal rein spielen, sowohl auf der Seite der Angreife als auch natürlich auf die Seite der Verteidigungslinie.

00:01:12: Und das ist zum Beispiel ein Thema wo wir mittlerweile einen Arbeitskreis haben, wo wir uns genau dieser Frage wie und welchen Einsatz hat AI im Kontext von Sicherheit?

00:01:24: Mehr dazu findet man wie immer auch auf der Webseite.

00:01:29: Und ja, dass vielleicht so alles als kleine Randinformationen.

00:01:33: Und genau bevor wir jetzt tiefer ins Thema einsteigen, möchte ich natürlich gerne erstmal meine zwei Gäste hier ins Feld führen und dazu sagen würde ich gerne mal an Tim auf die Bühne zu führen.

00:01:46: Lieber Tim, magst du dich mal kurz vorstellen?

00:01:49: Wer bist Du?

00:01:49: Was machst Du?

00:01:51: Die Bühle Steine!

00:01:52: Sehr gerne vielen Dank.

00:01:53: Mein Name ist Tim Golly.

00:01:55: Ich bin seit zehntzig-sebzehn bei der TÜV Informationstechnik GMBH beschäftigt als Auditor für Informationssicherheitsmanagement Systeme, bin seit September letzten Jahres Fachexperte für Management-Systeme und freue mich da sein zu dürfen.

00:02:12: Herzlich willkommen!

00:02:13: Ich freu' mich eben so.

00:02:15: Genau und der zweite Impote ist Markus.

00:02:18: Wir haben mit er schon mehr rumgeflogen, nichts.

00:02:21: Trotz mag es ja auch Zürer geben, die dich noch nicht kennen.

00:02:24: So weit magst du dich auch nochmal kurz vorstellen?

00:02:26: Ja, herzlich gerne und danke für die Einladung.

00:02:29: Dann auch von mir ein Update zu meiner eigenen Person.

00:02:34: Mein Name ist Marke Schuster.

00:02:35: ich beschäftige mich jetzt seit Qut, mit dem Thema digitale Signaturen und damit halt auch mit der gesamten EIDAS, seitdem man darüber gesprochen und nachgedacht hat bis hin zur Umsetzung und auch der sogenannten EIDas II-Null.

00:02:53: Unser Unternehmen, zu dem ich ja gehört habe ist mittlerweile verkauft worden.

00:02:59: Und innerhalb der Brusthaltung übernehme ich die Funktion des Head of Business Development also genau das, wo wir heute an einigen Stellen im Update sprechen werden.

00:03:09: Was passiert denn da alles so und was kommt in der nächsten Zeit auf uns zu?

00:03:14: Herzlich willkommen auch von meiner Seite!

00:03:16: Ja, ich hab ja schon ein bisschen angeteasert.

00:03:18: Wir haben heute zwei Themen und Markus Du hast ja gerade auch schon nochmal gesagt Update für die Idas.

00:03:25: Aber wir starten mal mit dem Thema der NIS II.

00:03:28: seit vielen, ich glaube in Jahren reden wir darüber.

00:03:31: das Thema wurde immer wieder so ein bisschen nachgeschärft.

00:03:34: Der Gesetz gibt einem ein bisschen Gebrauch bis es dann auch in Deutschland in die Spur gekommen ist.

00:03:39: aber ich habe über das ein bisschen getitelt als Nikolaus geschenkt.

00:03:44: Seit dem sechsten zwölften letzten Jahres ist das Ganze jetzt ja auch im der Gesetz beschlossen und aktiv geworden.

00:03:52: Und ja, das sind jetzt schon wieder ein paar Monate und spannend wäre eben zu gucken was ist seitdem passiert?

00:04:01: Ich glaube kein großes Kran ist da sage ich noch und dann überlasse ich natürlich euch dir das Wort hin.

00:04:05: Ich glaube es gab ein kleines wenn nicht auch ein größeres Erstaunen vom BSI dass ja vorher mal gesagt hat, wir gehen davon aus, dass ungefähr dreißigtausend Unternehmen hier unter dieser neue Gesetzgebung fallen werden.

00:04:20: Der Schreck war groß als da nur ungefähr die Hälfte sich auch entsprechend angemeldet hat.

00:04:26: aber das scheint nur so.

00:04:27: als einleitenden Worte.

00:04:29: Tim wie magst du bei dem Thema starten?

00:04:31: Was sind so deine Erfahrungen, die du schon sammeln durftest?

00:04:35: Ja danke Markus also danke Carsten Einladen ist schon richtig, also es sind rund dreißigtausend Unternehmen von NIS-II in Deutschland betroffen.

00:04:47: So viele wie nie zuvor.

00:04:48: Nis-I fielen etwa viertausends fünfhundert jetzt sind das dreißigtausend geschätzt.

00:04:54: Viele Unternehmen wissen aber noch gar nicht ob sie dazugehören.

00:04:57: andere schieben bewusst die Umsetzung auf Aber es ist halt ein sehr großes Risiko.

00:05:03: Vorstände sind persönlich haftbar Bußgelder sind erheblich.

00:05:07: Besonders an der Praxis kann man sehen, dass Governance Risikoanalysen und Meldwege größere Hörden darstellen als technische Maßnahmen.

00:05:15: Wenn wir betrachtet, wo Unternehmen jetzt etwa nach fünf Monaten stehen, da kann man sagen das nur jedes zehnte Unternehmen etwa nicht zwei offenbar vollständig erfüllt.

00:05:26: Das geht aus der Studie zur IT-Sicherheit Unternehmer vor die das Kompetenzzentrum für Cyber Sicherheit in der Wirtschaft Digitalsicher NRW veröffentlicht hat.

00:05:36: und

00:05:37: die Unternehmen haben noch gar nicht begonnen.

00:05:40: Hast du eine Idee

00:05:41: oder vielleicht auch aus Grund dieser Umfrageergebnisse, warum die Unternehmen sich jetzt noch nicht damit auseinandergesetzt haben?

00:05:50: Warum das so ist?

00:05:51: Weil du hast gerade schon super gestartet mit ja es gibt erhebliche Haftungsrisiken und neben den rechtlichen Parambitern wissen wir auch im Moment mehr und mehr alle Angriffsszenarien, Warum passiert trotzdem nichts?

00:06:07: Ein großes Problem ist, dass es so eine Unklarheit über die Betroffenheit herrscht.

00:06:12: Die Unternehmen wissen nicht einzuschätzen sind sie betroffen, sind sie nicht betroffen und schieben daher gewisse Entscheidungen auch auf.

00:06:22: das ist die Erfahrung die ich mitgeben kann ja die Regierungspflichten wurden dahingehend eben nicht erfüllt.

00:06:28: man spricht von etwa fünfzehn tausend Unternehmen die sich hätten registrieren sollen die sich jetzt registriert haben, von etwa dreißigtausend.

00:06:39: Und über die Gründe lässt sich mannigfaltig diskutieren.

00:06:42: Das kann einerseits sein dass eben die Betroffenheit nicht klar ist.

00:06:46: Dass

00:06:47: Vorstände das Risiko eben nicht sehen und denken ja IT-Sicherheit ist immer noch ein reines IT Thema und kein ganzhaltiges.

00:06:56: Und das ist eines der größten Hürden die ich sehe.

00:06:58: Ja was ja eigentlich nochmal mehr finde Es ist wichtig, mal eine Gesetzgebung voranzutreiben um mehr Awareness zu schaffen.

00:07:08: Aber es ist natürlich schade, wenn trotz allem das noch nicht so weit unternehmen.

00:07:16: Absolut!

00:07:18: Aber ich spreche mal über die Unternehmen, die jetzt schon gegangen sind.

00:07:21: Ich habe gerade gesagt, ungefähr jedes Zehnte und ich vermute mal, wenn man das zurechtet wie das zehnte von der Hälfte, die sich einmal haben.

00:07:28: also lasst mich kurz rechnen bei fünfzehn tausende jedes Zehn Es wären dann, wie da schon die Reise gegangen sind.

00:07:40: heißt wir haben ja noch eine der viel anderem wo ganz passieren muss.

00:07:44: Wo stehen die?

00:07:45: Wo Harbert ist?

00:07:46: Sind sie auf einer guten reise?

00:07:48: ich weiß jetzt kann wieder Ganz unterschiedlich.

00:07:50: es gibt wahrscheinlich keinen konkreten aber weil was sind so die aus seiner erfahrung eben

00:07:58: Die größten Hürden?

00:07:59: auch sehr praxis die Ich mitbekomme sind tatsächlich, dass die Sektorenlogik und die Schwellenwerte oft unklar sind.

00:08:06: Das heißt Unternehmen müssen immer noch ihre Betroffenheit klären.

00:08:11: Dann fehlen oft Verantwortlichkeiten.

00:08:13: Vorstände stehlen sich teilweise immer noch aus der Verantwortung obwohl es gesetzlich klar verankert ist das sie in einer Verantwortung stehen.

00:08:22: dann kann man sagen, dass sogenannte Basiselementunvollständig sind wie zum Beispiel fehlende Asset-Listen oder Risikoanalyse falsch oder das Risikomanagement falsch gelebt wird.

00:08:33: Und es sind auch teilweise uneinheitliche Verfahren, was Meldepflichten angeht.

00:08:37: Wenn man sich anschaut, Teilweise sind Unternehmen, wenn man bedingt zum Beispiel in der TK bronchisch unterwegs die müssen ans Bnet A melden, die müssen als BSI melden und wenn's ein Datenschutzvorfeld ist dann noch an den Daten des Datenschutzes aufsicht.

00:08:52: Da sind es eben uneinhaltliche Wege, die die Unternehmen im Grunde als Hürde sehen.

00:08:59: Und so der Letzt kann man noch festhalten, dass es auch teilweise komplexe Leverketten gibt und die Unternehmen eine oder eine fehlend Kontrolle über Dritte haben.

00:09:08: Also die Zulieferer, die einen kritischen Dienst bereitstellen, die sind auch Teil des Risikomanagements und das wissen viele Unternehmen nicht.

00:09:16: Ich glaube das war ja auch einer der großen Erweiterungen letztendlich mit der Nistzweine, dass eben genau dieses Thema Lieferantenmanagement nochmal ganz andere ganz anderen Stellenwert bekommt.

00:09:27: Und ich hatte schon auch Gespräche und ich vermute mal, es wird bei der eh nicht gewesen sein dass Annäme natürlich auch vor eine riesen Herausforderung gestellt sind wenn die Produktion immer ein interessantes Unternehmen ist durch ihre Differanten Listen gehen und sehen oh da sind jetzt mal zweitausend Literanten.

00:09:42: wie bewertig die erst einmal intern?

00:09:44: Wer davon ist wirklich ein kritischer Zulieferer?

00:09:46: oder wer macht vielleicht dann doch noch die Bleistifte die nicht ganz so kritisch sind und dann ja im nächsten Schritt auch mit denen Differanten in den Austausch zu gehen, um was haben die getan?

00:09:57: Das ist vermutlich ähnliches Thema.

00:09:59: Was du dann da meinst.

00:10:00: Vollkommen richtig!

00:10:01: Die Unternehmen stehen auch vor absoluten Ressourcenengpässen.

00:10:06: Wir wissen wir haben ja Fachkräftemangel in Deutschland.

00:10:10: Die Sicherheitsorganisationen können sich nicht alle gleichzeitig auf diese Themen stürzen und so wie du sagst Unternehmen haben ja in ihrer Supply Chain oft ganz viele Unternehmen, teilweise mehrere Tausende Unternehmen und Zulieferer Dienstleister.

00:10:28: Da ist es erst mal organisatorisch schwierig diese zu identifizieren.

00:10:32: welche sind da wichtig für mich?

00:10:34: Welche sind weniger wichtig für meine kritische Dienstleistung?

00:10:38: aber auch die Regel zu überlegen wie bewert ich denn diese Lieferketten?

00:10:43: Wie bewerte ich denn meine Lieferanten?

00:10:45: Und das tatsächlich ein sehr großes Problem für die Unternehmen aktuell

00:10:49: kann nicht nachvollziehen ja Als du schon mal gehört, weil das könnte eine spannende Idee sein.

00:10:55: Dass es da auch eine Art Bewertungsplattform gibt, weil ich stelle mir umgekehrt vor und ich fände beide Seiten.

00:11:02: wir haben eben auch Kunden die in dem Kontext unterwegs sind und hier wiederum aufgefordert werden jetzt Fragebögen auszufüllen.

00:11:10: Wenn man das einmal tut ist das fein.

00:11:12: wenn man jetzt aber von unterschiedlichen Fragen bürgen bekommt wie man ausfüllt wird das etwas wo man immer denkt Gut, das wird jetzt auch lässig.

00:11:19: Also ich verstehe den Hint-Context und natürlich tun wir das alles ganz brav aber es ist natürlich viel Arbeit.

00:11:23: also du hast ja gerade schon angesprochen.

00:11:26: Gibt es da aus deinem Wissen schon etwas was uns für alle Beteiligten leichter macht?

00:11:31: Weil ich sage mal wenn ich so ein Fragebogen einmal ausgefüllt habe und dass auch so eine... Ich setze zwar eine Austauschplattform, könnte ich ja vielleicht demnächst sagen guck mal da, da hab' ich schon alles soweit ausgefült Da kannst du dir das mit diesen Zugangsdaten runterziehen oder ich schick dir einen Link oder sonst irgendetwas Würde ja vielleicht eueres Leben leichter machen, aber vielleicht freu mich auch gerade ein bisschen.

00:11:48: Ja der Traum ist tatsächlich schön, aber ich denke es ist auch schwierig umzusetzen weil man auch schauen muss in welchem Kontext denn die Aussagen getroffen werden wenn das eine kritische Unternehmen oder eine besonders wichtige Einrichtung den Zulieferer A hat und eine weitere besonders wichtige dass die Zulieferqualität an beiden Stellen gleich ist.

00:12:16: Das heißt, ich denke dort zu standardisieren könnte vielleicht ein Problem darstellen.

00:12:21: was die Zuliver Qualität angeht muss ja gemessen werden.

00:12:26: aber wenn es darum geht eine Standard zu entwickeln um generell erstmal meine Zuliefere zu identifizieren und auch diese zu messen oder die Frage zu stellen gibt es denn ein implementiertes ISMS?

00:12:38: Ist das aus meiner Sicht sinnvoll über Zertifizierungen nachzudenken.

00:12:44: Denn Zertificierungen von dritten unabhängigen Prüfanbietern und Zertifikierungsunternehmen bieten einen guten Start, einen guten Standard um wenn der Scope passt der Zertifierung ein Fragebogen im Grunde zu umgehen.

00:13:02: Ja

00:13:02: das haben wir bei uns auch schon mal in den Teilen diskutiert dass wir davon ausgehen und ich merke das ja gerade auch schon Das genaue Thema Zerefizierung und ich denke mal du zielst unter anderem ab wie auch auf die sieben, zwanzig, neun und eins wenn man im Bereich IT-Sicherheit sind.

00:13:16: Dass das eigentlich ein Filter geben müsste weil ja die Anforderung jetzt auch nicht nur im Kontext von MIS II aber da natürlich noch einen besonderen ja eine Möglichkeit sind sowohl als Unternehmen zu sagen okay damit habe ich vielleicht nicht mehr jeden Frage bogen sondern schicke einmal das Certificat hin und hab' damit's mich schonmal so einem ersten Haken für meinen Kunden dann auch in den Lieferanten der Lieferandenbewertungen.

00:13:38: Merkt ihr an der Stelle auch schon etwas, dass das mehr auf euch zukommt.

00:13:42: Mehr das Thema hochkommt oder noch nicht

00:13:44: sehr?

00:13:45: Am seinste lief der Lieferanten noch nicht.

00:13:47: aber was wir sehen ist tatsächlich Das Unternehmen ihr Lieferantmanagement wurde gerade ziehen möchten standardisieren wollen und dass dort auch KEP-Analysen für Lieferanden gefragt werden.

00:14:01: Dass dort aber auch Unternehmen die Zulieferer sind bei uns anfragen Inwieweit sie denn ihre ja, ihre Verpflichtungen umgesetzt haben.

00:14:11: Um auch der sichere Lieferkette zugehörig zu sein?

00:14:17: Okay auf jeden Fall viel Arbeit.

00:14:19: Hast du ein Gefühl andersrum?

00:14:22: ich fange noch mal damit an.

00:14:23: Bratischer gesagt ungefähr zehn Prozent der Unternehmen sind schon durch.

00:14:27: jetzt werden die ja vermutlich nicht erst vor fünf Monaten angefangen seien, um jetzt schon den Haken dran zu haben.

00:14:33: Könntest du eine Schätzzahl in wie lange ein Unternehmen braucht?

00:14:37: Ich weiß, hängt ein Unternehmensgröße von dem was ist schon da etc.

00:14:40: Aber was würdest du so denken?

00:14:42: Wie lange braucht es wenn jetzt ein Unternehmen sagt okay wir haben bis jetzt die Basics aber eigentlich uns mit PPP noch nicht auseinandergesetzt wie lang gebraucht ist um hier sattelfest zu sein.

00:14:53: Um einen ISMS aufzubauen ist es verpflichtend dass man den sogenannten PDCA-Zyklus einmal durchlaufen hat das heißt über die Planung eines ISMS zur Umsetzung und die Kontrolle.

00:15:07: Es ist eine gewisse Zeit benötigt, um eine gewissen Reife der Prozesse darstellen zu können.

00:15:13: Aus meiner Erfahrung heraus benötige ich mir ca.

00:15:16: mindestens mal ein Jahr, um einen Zertifizierungsreife zu erlangen und Reifeprozesse zu haben und diese auch umzusetzen.

00:15:28: Ich

00:15:29: würde mich ausbestätigen und überlege gerade ob ich das sage was jedes Mal sei in diesen Runden?

00:15:34: So, erkennt das vermutlich schon.

00:15:36: Wir alle kennen glaube ich diese Werbung ISO-Siebendzwanzigtausendeinzehn drei Monate, wo ich mal denke so okay hört sich nett an und als Käufer bin ich sicherlich auch gewillt zu sagen wow damit habe ich das Thema stell in der Tasche.

00:15:47: aber dank dir noch einmal für deine Einschätzung.

00:15:49: Ich mag es immer selber nicht sagen dass das eben gerissen Rhythmus hat Und dass das nicht nur darum geht da den Stempel zu haben Sondern man braucht die Prozesse und die brauchen einen gewissen Beifeldrad.

00:15:59: Genau so sagt auch sehr

00:16:00: wunderbar Danke dir dafür.

00:16:01: wir haben uns nichts abgesprochen vorher Genau, also mindestens ein Jahr würde ich auch denken.

00:16:08: Was denkst du ist ja der größte, das hast Du sogar indirekt schon gesagt weil ich glaube Sie haben ja ihre Themenschwerdpunkte, wir haben ja einmal den Menschen als solches die Prozesse und wir haben noch die Technik.

00:16:20: wo denkst Du ist der größt die größte Hausaufgabe oder ist das auch Bild verteilt?

00:16:26: Meine Erfahrungen nach ist es wirklich die größter Aufgabe in die Projektkommunikation zu gehen.

00:16:32: Das heißt, man muss um Prozesse zu ändern und zu verbessern in die Köpfe kommen.

00:16:39: Jeder Prozess wird durch Menschen gelebt und wenn man ein SMS aufsetzt ist es absolut notwendig die Stakeholder der Prozese mit in das Projekt Team aufzunehmen, um dort auch zu sensibilisieren ...organisch in die Unternehmenslandschaft fortpflanzen zu lassen.

00:17:07: Wie ist da so die Erfahrung?

00:17:08: Ist da eine Offenheit auch im Vernehmen oder ist es eher so... eigentlich hat man keine Lust auf dieses Thema, aber wir machen jetzt irgendwie falsch halt sein muss.

00:17:17: Beides hat seine Darsatzberechtigung.

00:17:18: In Unternehmen, die bereits IT-lastig unterwegs sind, da ist die Implementierung eines ISMS tatsächlich ja schon fast DNA eines Unternehems.

00:17:31: Auch die DNA, der Softwareentwickler, der Systemintegratoren.

00:17:35: Also alle, die dann in dem Bereich Wertschöpfen tätig sind.

00:17:39: Schaue ich mir aber zum Beispiel an aus meiner Vergangenheit hatte ich mal eine Agentur zur Prüfung, eine Marketingagentur und die wollte ein ISM-ISO-Siebensatz auf einen Zertifizieren lassen.

00:17:52: Die waren ganz weit weg davon!

00:17:53: Die waren nicht strukturiert... Ja sehr kreativ auch in der Auslegung, der Norm des Standards.

00:18:02: Es war ein wunderbares Audit aber es hat leider nicht zum Zertifikat vielleicht.

00:18:05: Also es hängt eben davon ab, in welcher Branche man tätig ist glaube ich auch, es hinkt auch davon ab wie man sich technisch und organisatorisch aufstellen möchte.

00:18:15: also es ist als Führungsthema.

00:18:17: Es ist ein Führungsthema das SMS, wir reden von einem Management System.

00:18:22: es kann nur top down funktionieren und man muss eben in die Köpfe kommen.

00:18:26: Man muss sich unternehmensweit dazu committen, dass man ein ISMS implementiert und es auch weiter pflegt.

00:18:32: Es auch prüfen lässt, sich mit den Auditoren auseinandersetzt.

00:18:36: Und das dauert eben.

00:18:37: und deswegen schafft man es auch einen ISMS nicht in drei Monaten aufzusetzen Wenn man sich einen Set an Dokumenten kauft und sagt so Das ist jetzt ja mein ISMS Ein USMS ist eben kein Dokumentenset Keinen Satz von Dokumentvorlagen die man eben auszufüllen hat durch Lückentexte.

00:18:54: Nein Es sind Prozesse und die Prozisse müssen beschrieben werden.

00:18:58: Die müssen nachhaltig sein, die müssen sich verbessern.

00:19:01: Darum geht es bei der Implementierung über den Prüfung eines SMS.

00:19:04: Ja absolut!

00:19:06: Das was ich noch mal so als Unterschied entdeckt habe wir haben manchmal in dem Fall das Unternehmensleitung, das hat sie ja schon gesagt ist ein Führungsthema und das würde ich so fort überschreiben dass das ID-Unternehmen wirklich sehr gut darin sind das als einen sehr positiven Prozess auch zu betrachten, eben nicht so sagen wir müssen eine Zertifizierung machen sondern als Chance das begrafen.

00:19:28: Ich glaube mein Lieblingsgespräch war wo ein Geschäftsführer sagt naja wir sind in einem Konstrukt auch eine amerikanische Mutter haben und dadurch dass wir das jetzt implementieren bekommen wir mehr Eigenständigkeit unserer Unternehmen in Deutschland.

00:19:47: ein so positiver Blick auf dieses Thema gesetzt, was jetzt ja gar nichts erst mal mit der Umsetzung an solches zu tun hat aber mit einem wow dadurch bekommen wir mehr Eigenständigkeit und können viel besser intern agieren.

00:19:59: Und das hat nicht beflügelt.

00:20:01: ich glaube dass das alle in diesem Projekt total befügelt war es eben nicht mehr darum gegen irgendetwas zu tun was man tun muss sondern weil es einen Mehrwert schafft.

00:20:08: das ist natürlich dann die Tür würde ich sagen.

00:20:11: Das ist die Kühe.

00:20:11: oder wenn man schafft wenn man vermeidlich trockene Themen die halt die Implementierung eines Standards mit sich bringen, dabei Spaß zu haben und daraus einen Mehrwert generieren kann.

00:20:23: Dann hat man eine Windwin-Situation.

00:20:26: Absolut korrekt ja, sehe ich auch so.

00:20:28: Ja, wie mal?

00:20:30: Hättest du ein Prozentfüll, wo du sagst, wie oft das gelingt aus deiner Erfahrung?

00:20:36: Ich sage mal es hält dich die Waage, sagen wir besprechen was von Fifty-Fifty.

00:20:40: also ich seh's gerade in großen Konzernen die wir prüfen und unsere Kunden nennen dürfen.

00:20:47: Da ist es tatsächlich ein Mehrwert, der geschaffen wird und da ist auch eine gewisse Sensitivität ob der Implementierung und der Prüfung von Management Systemen.

00:20:58: aber gerade bei kleineren Unternehmen oder KMUs Mittelständlern, die jetzt eben auch im Rahmen von NIS-II wenn sie betroffen sind ein SMS implementieren müssen.

00:21:09: entsprechend gibt's halt hohe Investitionsraten und hohe Investitionsvolumen, das Geld muss erst mal verdient werden.

00:21:18: Also ich denke dass es da Unterschiede gibt Und die sind auch vollkommen richtig.

00:21:23: und Auch in der Umsetzung Reife oder die Umsetzung Tiefe unterscheidet sich natürlich auch von den monetären und den personellen Möglichkeiten ihren Unternehmen hat.

00:21:33: Das ist auch vollkomm ok.

00:21:34: Ein Unternehmen kann zertifiziert und kann gut über eine Prüfung kommen Wenn's eben ein Basilevel hat wenns den Prozess gut darlegt mit einem niedrigen Reifengrad.

00:21:43: So startet man meistens mit einer Initialprüfung und man wird halt immer besser mit der Zeit.

00:21:50: Und wenn man dann sieht, auch als Prüfer, als Auditor, da meine Erfahrung ist, weil ich begleite die Kunden, die Audities über mehrere Jahre – das baut ja Vertrauensverhältnis auf – und wenn man sieht dass die Audites bereifer werden in ihren Prozessen, dass man immer weiter in die Köpfe kommt, Informationssicherheit ist nicht nur ein Produkt oder ein Prozess, welches uns hindert unsere Arbeit zu tun und allen Mehrwerten schafft.

00:22:18: Und man dabei unterstützen kann macht es allen Beteiligten sehr viel Spaß.

00:22:23: Das ist so ein guter Ausblick.

00:22:25: Apropos Ausblick und danach würde ich mal umschwenken, weil ich hatte das befürchtet.

00:22:30: Man bleibt beim Thema und man könnte jetzt wahrscheinlich noch Stunden darüber reden.

00:22:33: aber genau Ausblick was?

00:22:34: Was denkst du in den nächsten, sagen wir die nächsten fünf Monate dann nochmal an Erfahrung obendrauf kommt wird, was derzeit noch gibt und seien die ja.

00:22:45: womit wir so rechnen werden ist das Gedanken von beidem sein.

00:22:49: Ja also ich kann sagen dass ich im Moment zwei Welten sehe.

00:22:51: auf der einen Seite sind Unternehmen sie sind blindflug ohne vollständige Transparenz über ihre IT und mit massiven regulatorischen Druck.

00:22:59: aber auf der anderen Seite sind Unternehmendienst zu nutzen um ihre Sicherheitsorganisation inklusive Notfallorganisation und physische Sicherheit wirklich neu aufzubauen beklare Governance, einem Risikomanagement und echter Resilienz.

00:23:12: Und ich glaube das zum Letzten dass die Anteile größer werden, dass die Unternehmen verstehen warum sie Informationssicherheit umsetzen, dass sie einen Mehrwert schaffen und damit auch ihre Reife gerade größer wird.

00:23:26: Man muss ganz klar festhalten, dass eben die Umsetzung von NIST II ein Projekt ist was Struktur braucht und ein klares Zielbild hat.

00:23:34: und ja wenn man dieses Zielbild weiterfasst und sieht, dass es ein Mehrwert gibt.

00:23:41: Dann werden Unternehmen Resiliente aufgestellt für die Zukunft und unterstützen auch so im Rahmen der Bevölkerungsschutzes.

00:23:51: Ja perfekt!

00:23:52: Jetzt werde ich ja genau das Ziel was ja auch erreicht werden sollte mit diesem Gesetz.

00:23:57: Manchmal braucht es ja diesen kleinen Schubstner nächstes Mal, dass die Unternehmen das Thema nochmal etwas ernster betreiben.

00:24:03: und gut wir sehen es gibt noch viele haben noch einiges an Hausaufgaben und müssen das Thema vielleicht erst mal für sich definieren, und wirklich dann auch ernst nehmen.

00:24:12: Aber die Schöne nach ist ja dass es zumindest fünfzig Prozent roundabout da schon auf der Reise sind einige schon sehr gut andere haben noch was zu tun aber Die Richtung stimmt und das ist jetzt mein positiver Ausblick vielleicht.

00:24:27: Ja vielleicht kann man da noch Handlungsempfehlungen geben für die Unternehmen die betroffen sind und eben noch nicht so weit sind.

00:24:33: Wichtig ist, dass sie jetzt die Betroffenheit und Verantwortlichkeiten klären.

00:24:37: Die Vorstandsebene muss eindeutig einbezogen werden.

00:24:40: Man sollte mit einer GAP-Analyse starten, sprich man sollte Risiken messen, Assets definieren und Meldwege priorisieren und das wichtigste an der Stelle Ressourcen und zeitrealistische Einplan.

00:24:53: Sprich man soll externe Expertise nutzen.

00:24:56: Und

00:24:57: ja... Ich glaube damit haben wir schon mal einen klaren Punkt gesetzt.

00:25:03: Vielen Dank schon mal.

00:25:03: bis hierher, Tim.

00:25:05: Dann lieber Markus!

00:25:07: Wir hatten im Vorschlüsse schon ganz kurz gesagt was, wie streift das Thema des zwei eben auch deine Baustelle?

00:25:14: Vielleicht ist ja der passende Übergang und Einstieg, wo hast du Berufspunkte?

00:25:19: Ja zu meinem betrifft es sicherlich unserer verwendeten Vertrauensdienste Anbieter die halt hier entsprechende sichere Netzwerke IT-Infrastrukturen Aufbauen und betreiben, dass sie vertrauen sind sein Bieter sein können.

00:25:34: Aber ich hatte ja jetzt ein wenig Zeit mit zuzuhörend auch noch mal was nachzudenken.

00:25:39: Und unser Update zu AI das viel mir dabei auf ist eigentlich sogar kein update sondern in einer Stelle ein upgrade.

00:25:47: Wir haben uns dem letzten Call ja mal darüber unterhalten, was so auf der Seite der EID, der Audi Wallet getan wird mit der Verlagung der Eid in den Smartphone hinein um sich sicher identifizieren zu können und Attributsertifikaten usw.

00:26:06: Und sofort gehen wir sicherlich gleich auch nochmal etwas genauer drauf ein, wo wir da gerade stehen.

00:26:11: aber das Upgrade ist tatsächlich dass man sich auch seitens der EU-Gedanken gemacht hat, wenn ich jetzt die Identität einer natürlichen Person halt habe.

00:26:21: Es ist nicht genauso wichtig, die Identitet einer juristischen Person zu haben und für die juristische Person hier das Gleiche zu ermöglichen wie für die natürliche Person.

00:26:33: Und dieses Instrument für die Juristische Personen ist die European Business Wallet.

00:26:40: Das ist dann keine Wolle, die in den Smartphone reinkommt.

00:26:44: Die ist also komplett anders gedacht aber sie soll der zentrale Baustein werden für die Kommunikation von BtoB und auch B to G Sprich also alle Dinge, die wir gerade vielleicht nicht irgendwo noch mal berühren was KYC ist und KYS.

00:27:05: Also kenne deinen Kunden Lieferanten und zwar nicht auf Namensebene, sondern was ist der Bezahlter seine Steuern?

00:27:13: Das sind ja die Fragebögen, die du gerade auch mal so genannt hast.

00:27:16: Die so regelmäßig reinkommen.

00:27:19: Ist er vernünftig sozialversichert usw.

00:27:21: und sofort das werden Attribute sein, die halt auch für juristische Personen ausgestellt werden können.

00:27:30: heißt also ich habe hier eine zentrale Plattform wo ich diese Attribut darin ablegen kann.

00:27:36: Und was die Business Model zusätzlich können soll, sie soll weitere Vertrauensdienste unterstützen wie Siegel also die Signatur einer juristischen Person.

00:27:48: Aber halt auch die Anschlussmöglichkeiten an Einschreiber- und Zustelldiensten.

00:27:53: heißt außen wir sind hier digital in der Lage dass sich Unternehmungen sauber sicher identifizieren können und halt gesichert Unternehmensinformationen denjenigen übermitteln können oder bei denen abfragen können, wo sie ein entsprechendes berechtigtes Interesse daran hat.

00:28:13: Und das denke ich mal wird die Digitalisierung im Punkte der Kommunikation hier nochmal komplett neu strukturieren so dass ich wesentlich einfacher an diese Informationen herankomme.

00:28:25: wenn ich etwas sage ich brauche jetzt Information Zu meinen Zulieferer ist dann noch alles in Ordnung, kann ich nachfragen.

00:28:32: Ist da noch im Handelsregister eingetragen?

00:28:35: Ist der noch sozialversicherungspflichtig für seine Mitarbeiter?

00:28:39: hinterher und so weiter und so fort?

00:28:41: Und das kann ich mir vorstellen könnte ein sehr gutes Werkzeug sein um halt auch hier dann im weiteren Umfeld einer nicht zu sagen okay ich komme hier mit diesen Bausteinen etwas weiter.

00:28:53: Aber ich bin generell davon überzeugt, dass das ähnlich wie dein Gainchanger, die Audi-Wollet für die natürliche Person ist.

00:29:00: wird die Business-Wallet dann tatsächlich für die Unternehmenskommunikation sowohl im hördlichen Rahmen als auch natürlich im unternehmischen Rahmen massiv verändern.

00:29:11: Es hört sich gerade Grandios gut an.

00:29:14: also ich musste grad so ein Becken eben wurde ich aber ein bisschen entschranken gießen, dass mein Traum doch nicht realität wird.

00:29:19: Das hört sich jetzt gerade doch ein bisschen danach an, weil wir kommen als erstes die Bedecklichkeitsbescheinigung, die wir regelmäßig einholen bei allen möglichen Ausschreibungen.

00:29:30: Wenn das schon nicht mehr da ist hätte ich nichts dagegen und da ist natürlich dann ein Riesenpotenzial.

00:29:36: Hört sich super spannend an eben zu sagen es wäre zum Thema Bürokratisierung oder Entbürokratisierung was ja momentan gefühlt für mich eine große Headline ist aber leider an Erfüllung krank.

00:29:48: Wäre das ja wirklich eine Möglichkeit, dort auch mal wirklich Schritte nach vorne zu machen?

00:29:55: Ja absolut.

00:29:56: Dadurch dass wir hier über wirklich einen automatischen Austausch von wesentlichen Informationen handelsfähiger Informationen und so weiter um zu Vorteil sprechen insbesondere auch wenn ich zu meinem Behörden halt kommunizieren muss oder will oder halt auch weil da stürzt sich natürlich momentan die kompletten Banken drauf, so mal ein Darlehen für einen Unternehmen kann dadurch komplett digital abgewickelt werden und halt alle Informationen können darüber beschafft werden.

00:30:27: Bisschen ist der Geschäftsführer tatsächlich allein vertretungsberechtigt und man muss nicht alles zusammen sammeln.

00:30:34: das muss man zwar quasi mit der Businessmodel erst einmal machen und es wird auch noch ein Weg sein.

00:30:40: Man kann sich vorstellen, dass wir wenn wir über diese Themen reden.

00:30:44: Wir hatten am achtendzwanzigsten vierten den EI das Summit wo auch etliche vom BMW S da waren aber viele viele aus der Wirtschaft die ganz großen die sind natürlich ganz heiß dahinter her und die würden lieber heute schon eine wallet einsetzen als morgen.

00:30:58: obwohl da noch nicht alles wirklich fertig ist wird noch sozusagen dran gefeilt in Brüssel.

00:31:05: Aber wir werden uns sicherlich überlegen müssen wie holen wir kleinere Unternehmungen ab die halt eben ein Volet nicht so betreiben können, wie das große Konzerne dann machen können.

00:31:16: Die noch sicherlich eine Volet am Premien stellen.

00:31:19: Da gibt es Gedankenmodelle, dass halt die großen Konzerner ihren eigenen Zudieferern vielleicht sogar die Volets auch zur Verfügung stellen und also wir werden hier.

00:31:30: deswegen ist der Traum doch nicht so ganz so wunderschön den du haben kannst weil die Plattform die Idee Wie es genau ausgestaltet wird, das kennen wir ja nur wieder von der EU an einer anderen Stelle.

00:31:43: Das ist eben noch nicht klar.

00:31:45: und dann muss es halt darüber gehen wie setzen wir das gemeinsam halt um?

00:31:49: Und das wird nachher natürlich ... Der Punkt sein, wird es schnell eine erfolgreiche Geschichte oder brauchen wir doch noch ein bisschen bis das Ganze so über die komplette Unternehmungen und Behörden funktionieren kann wie eigentlich gedacht.

00:32:06: Okay, also sind noch ein paar Schritte zu gehen.

00:32:08: Aber die Verbindung haben wir sehr schön hergestellt finde ich zwischen den beiden Themen weil ich weiß auch das war ja oder ist ja für den Unternehmen die sich dort entsprechend melden wollen schriftlich müssen.

00:32:19: zum thema nis zwei einen nicht ganz so einfacher Weg in dem man glaube ich dann über das Elsterportal gehen musste.

00:32:25: aber das war doch auch nicht die persönliche Anwendung sondern es waren extra Unternehmenskonto was mal anlegen musst und Damit war die erste Hürde schon im Raum und das hilft uns jetzt nicht weiter, dass es dann vielleicht bald eine Hand von Lösungen gibt.

00:32:36: Aber das wäre ja im Grunde um dann wirklich, ich verstehe zukünftig vielleicht darüber die Möglichkeit als Unternehmen sich zu authentifizieren und diese Schritte einhalten zu

00:32:45: können?

00:32:46: Absolut!

00:32:47: Und damit hast du auch schon wieder einer typisch deutsche Hürden angesprochen weil wir haben uns ja schon Gedanken gemacht an einigen Stellen wie wir kommunizieren wollen, wie einige Sachen laufen sollen.

00:32:58: in einem Audi-Wolle zu Umfeld spreche ich da nur mal die Bund-ID halt an, wo wir ja was Selbstständiges getan haben.

00:33:06: So etwas wie das Elsternetz.

00:33:08: Ja, dann gibt es auch sehr viele Sachen.

00:33:11: oder gerade im Bereich des elektronischen Rechtsverkehr gab's einen Aufgach über den IT-Planungsrat, wo sich grade die FITCO sehr stark halte, drum kümmert, wo vielleicht wieder so ein nationales Eigengebrösel nach oben kommt.

00:33:26: und hier werden wir einfach sehen ob sich tatsächlich der Gedanke der EU, die erstmal die Verwendung einer Wolle für Unternehmen freigestellt hat.

00:33:36: Da gibt es keine gesetzliche Richtung zu.

00:33:38: Aber für Behörden sieht das schon an der Stelle etwas anders aus.

00:33:42: Ob man allein durch die Motivation dass das alles einfacher wird europaweit einheitlich wird?

00:33:49: Dass darin so viel liegt und nicht nur wir Deutschen sondern gegebenenfalls auch in anderen Ländern Diese properitären Systeme, diese eigenen Gedankengänge dann tatsächlich auch fallen lassen und sagen okay wir haben hier kein besonderen RV mehr im Bereich von Deutschland sondern ist für einen Einschreibung Zustelldienst damit wir das wohl jetzt genutzt.

00:34:11: Ich endet damit dass wir auch nationale properitäre Systeme halt haben die da eigentlich auch.

00:34:18: ja es gibt nur ein Erfolg wenn sie dann halt auch durch die Ideen der EU abgelöst werden.

00:34:25: Gut, das bleibt natürlich eine spannende Frage und wird sicherlich noch eine längere Zeit dauern bis sich da Antworten ergeben.

00:34:33: Aber die Hoffnung stirbt ja bekanntlich zuletzt.

00:34:39: Wir können vielleicht ein bisschen darauf hoffen... Die EU hat hier auch schon mit der Einführung der EIDAS so ein paar andere Sachen einfach dann halt vorgeschrieben.

00:34:52: Ich erinnere nur dabei daran wenn man halt Ein Produkt in den Umlauf bringt, was nachher als Elektroschott eventuell irgendwann endet.

00:35:01: Dann muss man sich tatsächlich an einem zugehörigen EU-Portal mittels eines Siegels einmalig identifizieren.

00:35:08: Das ist nicht eine Killerapplikation.

00:35:10: zur Verwendung des Vertrauensdienstes qualifiziert das elektronisches Siegel weil ich brauche es exakt ein einziges Mal und muss dafür stand heute ne Siegelkarte kaufen, Kartenlöser kaufen und auch dann auf Software kaufen.

00:35:23: Aber in der EU ist das an dieser Stelle total egal.

00:35:27: Die sagen, das qualifizientektronische Siegel ist genau da das richtige Instrument.

00:35:32: und wenn du liebes Unternehmen das nicht noch häufiger an anderen Stellen einsetzt, dann ist das nicht unser Problem als EU sondern deins.

00:35:40: aber dadurch dass ich immer wieder als EU für meine weitere Regulatorik immer wieder in den Baukasten des Eiders reingreifen um da die richtigen Werkzeuge reinzusuchen, dann kann ich mir schon vorstellen dass es auch einen gewissen nationalen Druck halt gibt.

00:35:58: Dann zu sagen dann verwenden wir dann in Deutschland genau diese Werkzeige und lassen uns nicht das alles einfallen.

00:36:05: Okay, ich drücke mal die Daumen für uns alle, damit das in diese Richtung geht.

00:36:10: Das ist wirklich ein super spannendes Upgrade aber dann lass uns vielleicht nochmal auf das Update gehen.

00:36:15: was hat sich da schon so verändert in der letzten Zeit?

00:36:19: Also für alle, die im letzten Podcast sich den nicht anhören konnten.

00:36:24: Da hatten wir sehr stark über die Audi Wallet gesprochen, sprich über halt meine Brieftasche im Smartphone wo auch sicherlich noch so vor gut zwölf Monaten immer wieder gesagt wurde, na ja ob die Ziele erreicht werden dass jeder Bürger am Anfang von zwanzig siebenundzwanzig dann eine solche Wallet in der sich herunterladen können und den Smartphone laden können.

00:36:48: Das Update können wir geben, auch wiederum vom Summit wiedergegeben.

00:36:54: Dort war der zuständige Referenz des BMDS direkt vor Ort, der von sich aus auch noch einmal gesagt hat es ist kein Zweifel gibt und das zu sein wird dass am zweiten ersten diesen Tag können wir uns schon mal im Kalender markieren.

00:37:14: den Namen, wie diese App dann heißen wird hat er noch nicht verraten.

00:37:18: Aber man arbeitet daran.

00:37:19: dass es halt ein toller Name wird bin ich gespannt drauf.

00:37:23: aber jeder Bundesbürger wird sich diese Wolle kostenfrei herunterladen können die zunächst zwei Funktionalitäten hat.

00:37:31: einmal halt der Aufnahme der EID das ist mich also elektronisch identifizieren kann aber auch schon in einem gewissen Umfang die Aufnahme von Attributsertifikaten.

00:37:44: Da schaut man momentan nach Anwendungsfällen.

00:37:46: Was könnten das denn für Attributszettel wie Karte sein?

00:37:50: Das könnte sowas sein, wie der elektronische KFZ-Brief oder die elektronischen Führerschein oder die Elektronische Gesundheitskarte oder das elektronisch hochschule Zeugnis und da gibt es jede Menge mehr, je nachdem mit welchem Wirtschaftsteilnehmer man sich unterhält neigen sie dann eher zu den einen Attributen oder anderen.

00:38:10: wenn man sich mit den Banken unterhält, dann sagen die natürlich ganz klar Wir brauchen hier genau die Attributszertifikate, die wir benötigen.

00:38:17: Wenn wir Verbraucherkreditvertrag abschließen wollen und so weiter und so fort.

00:38:22: Also das wird der nächste Bereich sein, der aber dann wachsen wird.

00:38:26: Aber warum kann man den Worten des Bundesministeriums für Digitalisierung, Staatsministerium an der Stelle dann doch so vertrauen?

00:38:34: Weil es eine Bundeseigentur unter dem Namen Sprint gibt, die das Ganze managen und leiten Und wo es auch seit dem ersten Quartal dieses Jahres, meine ich eine Sandbox gibt.

00:38:47: Wo alle Teilnehmer halt mit dran teilnehmen können und jetzt schon die Möglichkeiten der Rollet ausprobieren können in dieser Sandbox.

00:38:58: Das heißt wir reden hier nicht, da wird irgendwo was im stillen Kämmerlein implementiert gemacht und getan.

00:39:03: Und dann gibt's Magic, zweiten erstes, sieben, zwanzig sondern nein... für die das Interessant ist, die die Teile nehmen wollen können hier aktiv dran teilnehmen.

00:39:14: Und das sind momentan schon mehr als einhundert Wirtschaftsunternehmen, die das tun, die sich daran beteiligen um hier halt diese Möglichkeiten nicht einzukucken.

00:39:24: Wir selber als Haus haben letztes Jahr auf der Smart Country Convention gemeinsam mit einem Vertrauensdienst ein Bieter gezeigt wie man zum Beispiel zu mittels der IID im Smartphone dann eine qualifizierte elektronische Signatur ad hoc auslösen kann, auch wenn der Inhaber dieser EID vorher den Vertrauen zieht, sein Bieter noch gar nicht bekannt war.

00:39:45: Und auch das sehe ich als ein ganz, ganz wesentlichen Hub in unserer Digitalisierung halt an weil da brauche ich eben diese Videodendverfahren oder die EID auf dem Personalausweis eben nicht mehr.

00:39:57: überhaupt keine komplizierten Verfahren dazwischen wo ich vielleicht Hardwarebrauch und andere Sachen brauche Sondern ich kann aus meinem Smartphone heraus das alles steuern und dann in einem Autohaus einen Leasingvertrag unterschreiben oder vielleicht, in der Prognose ist noch nicht ganz so angekommen die Themen aber halt auch im Krankenhaus die Dokumente zur Patientenaufnahme damit unterschrieben weil es ad hoc funktioniert.

00:40:24: Der Bitcoin hat eine Umfrage mal zur Wallet gestartet und hat in dieser Umfrage herausbekommen, dass mehr als fifty-fünfzig Prozent der deutschen Bevölkerung diese Wallet bereits heute auch sofort einsetzen würden.

00:40:38: Also die Akzeptanz ist im Vorfeld schonmal relativ groß.

00:40:42: Und wenn die ganzen Vorteile dann noch kommen werden, dann bin ich davon überzeugt wird auch diese Akzeptanzen tatsächlich gegeben sein.

00:40:50: Auch hier muss ich jetzt wieder ein bisschen Salz reingeben in das Getränk, weil das ist alles fertig und es wird zu sein.

00:41:01: Aber wie komme ich denn an meine EID in das Smartphone?

00:41:06: Und dazu brauche die EID meines Personalausweises.

00:41:10: Wir alle wissen dass die Nutzung der EID des Personalaussweises in der breiten Bevölkerung immer noch leider sehr, sehr gering ist.

00:41:19: Da ist das da oben ja?

00:41:21: Ich habe meine EID sie ist nutzbar ich kenne meine PIN und werde also ohne Probleme am zweiten ersten meine wallet in Betrieb nehmen können.

00:41:32: aber viele, viele Menschen haben das nicht haben vielleicht auch nur den pinnbrief verlegt wissen gar nicht dass es sowas gab.

00:41:41: Jetzt überlegt man wieder, wie macht man dieses Pin-Rücksetzungsverfahren?

00:41:45: Da gab es mal einen Pinnenbrief.

00:41:46: Der dann ein Rücksetzungspinnenbriefe, der dann eingestellt worden ist vom Innenministerium.

00:41:51: auch in der Kommunikation mit einigen Behörden wenn das im kommunalen Bereich ist die sagen oh Gott, oh Gott weil da jetzt nur täglich hundert Bürger reinkommen, die ihre PIN zurückgesetzt haben wollen Dann sind unsere Meldbehörden absolut überlastet.

00:42:05: Das kann nicht funktionieren.

00:42:06: Also jedem Zuhörer dran interessiert ist und weiß, ich habe meine IID noch nicht in Betrieb genug.

00:42:13: Mach's jetzt!

00:42:14: Geht ihr zu Behörde erkundigt euch?

00:42:17: Seht du das?

00:42:18: ihr an den neuen Pin-Berief rankommt oder findet den Alten und nimmt über die Ausweis dann halt eure IID wirklich im Betrieb.

00:42:28: Das kann am zweiten Ersten wirklich helfen.

00:42:31: Ich finde es ist nicht so ein ganz schwieriger, so eine ganz schwere Gefühle da.

00:42:34: Also ich hätte gerade erst angedacht und bin ja optimist.

00:42:38: Also es hört sich total super an, dass wir dann Anfang nächsten Jahres da schon mit starten können.

00:42:43: Trotzdem kommt jetzt der Passimest durch!

00:42:44: Ich weiß, es gab schon mal so eine Führerschein-App und ich glaube die war genau eine Woche online und danach waren diese System völlig überfordert weil alle sich darauf gestürzt haben.

00:42:53: bei hundert Stierzgrattern arbeiten stellt das vielleicht sicher, dass sie Funktion da ist und dass man schon mal weiss, dass es durchgetestet.

00:43:00: aber das wäre jetzt noch so.

00:43:01: ne Sorge, dass man das auch auf Last entsprechend herausfässt.

00:43:03: Weil ich bin garantiert einer der ersten, der das tut habe ich bestimmt schon mal erzählt, trotz dass ich eine Ausbildung als Informatiker habe.

00:43:12: Ich glaube, ich brauche jedes Mal irgendwie so was zwischen fünfzehn Minuten und das schlimmste war, glaube ich, eine halbe Stunde bis ich das Lesegerät synchronisiert habe mit meiner Karte.

00:43:20: oder mache ich das einmal falsch?

00:43:21: Und bis dann die Unterschaft runter ist, ist das jedes Mal eine Tortur.

00:43:25: Und jeder der nicht halbwegs soweit technisch unterwegs ist wird ja nach fünf Minuten die Sachen in die Ecke werfen und sagen, ich unterschreib das jetzt bei Papier, dann dauert es halt ein bisschen länger.

00:43:36: Und von daher freue ich mich, wenn das dann so einfach wird.

00:43:38: Aber die erste Hürde ist trotzdem irgendwie daran?

00:43:42: Ja wobei sie bei den Einlisen der PIT also des übertragenden EIDs des Personalers weiß auf die Wallet ja eine sehr lokale Funktionalität ist Während was du gerade angesprochen hast klar Wenn ich so so eine Hypefunktion halt habe dass ich sage Ich möchte mein mein KFZ Brief in der Wallets halt haben und das machen gleich zig Millionen von Menschen.

00:44:09: Da muss es natürlich auch dann halt ein System geben, dass die Ausstellen entstellen und diese Last auch IT-technischer tragen können.

00:44:18: Dafür gibt es aber genau für das Ausstellung der Attributszertifikaten tatsächlich Überlegungen, dass das öffentliche Stellen machen können.

00:44:25: Es können allerdings auch wiederum Vertrauensdienste an Bieter machen, die spezielle Zertifikate ausstellen, die dann diese Registerfragen dann halt machen und dann als VDA diese Informationen zur Verfügung stellen.

00:44:37: Also das ist schon ein sehr ausgefeiltes System, dahinter ich als Nicht-Techniker könnt sie auch gar nicht so sauber richtig erklären.

00:44:47: aber ich glaube naja wenn wir das Problem hätten dass es dann doch aus irgendeinem Grund kurzzeitig in die Knie geht dann wäre es ja trotzdem eine Erfolgsstory.

00:44:56: Da haben wir den Optimisten!

00:44:57: Sehr schön finde ich.

00:44:58: gut.

00:44:59: Rima werfen da schon Updates und Upgrades oder sind da mehr Gedanken, die ihr durch die Kopf habt?

00:45:06: Naja also im Bereich der EIDAS hat mir ja die ATB-Zertifikate angesprochen.

00:45:11: Es gibt weitere neue Vertrauensdienste, die uns sicherlich auch im Punkt der Digitalisierung weiter hilfreich zur Seite stehen werden.

00:45:19: Wir hatten schon lange den sogenannten Bewahrungsdienst, dass sie also Dokumente nachsignieren kann.

00:45:26: Dame kommt jetzt noch einen Archiving-Dienst hinzu, wo es also tatsächlich darum geht dass ein Vertrauensdienst anbieter Dokumente dann halt archiviert.

00:45:37: Dokumenten die auf solchen System herauskommen den ist dann halt auch zu glauben das sie unveränderbar sind.

00:45:43: da werden die Preservation-Dienste wieder so ein bisschen mit rein spielen.

00:45:47: man sieht also dass der Werkzeugkasten sich gegenseitig nutzbar gemacht wird als ein weiteren Vertrauungsdienst Und was ein sehr technologischer Vertrauensdienst ist oder zukünftiger Vertrauendienst, der sogenannte Ledger oder wie die Bundesnetzagentur das Ganze übersetzt hat.

00:46:05: Ein Journal heißt also ich kann gewisse Attribute, die temporär sind in dem Ledger halt ablegen und dort dann halt auch gucken, sind sie noch gültig?

00:46:17: Das haben wir vor kurzem mal an einem ganz tollen Beispiel nämlich den Anwohner Parkhouse Weiß gemacht.

00:46:24: Man kann ja also dort zum Beispiel dann in dem Vertrauensdienst Letcher eine Satz erzeugen, der sagt Ja.

00:46:31: Der Karsten wohnt dort und da hat auch ein Anwohner Parkausweis, der ist gültig.

00:46:36: Er zieht aber Karsten um und wir sind nicht mehr in der Jahresfrist drin, die so einem Anwohner Parkhaus weiß normalerweise sein Gültig ist sondern du ziehst halt selbstverständlich vorher um.

00:46:48: Das kriegt die Meldeprohörde mit und wäre dann in der Lage, in dem Ledger einen neuen Eintracht zu machen.

00:46:53: Und sagen äh äh Kasten ist umgezogen.

00:46:55: deswegen ist der vorherige Eintrag nicht mehr gültig.

00:46:59: das nur etwas was glaube ich jetzt sehr plastisch ist also einfach trauenziehend über den ich Stati von gewissen Dingen halt nachvollziehbar abspeichern kann.

00:47:09: dass ganze wird so ein Blockchain-Charakter haben also kommen alte Basswurz wieder hoch aber sie sind intelligent dass man sich dort an der Stelle macht Und ich glaube, auch das wird einfach traurig sein.

00:47:20: Wenn wir das mal so richtig verstanden haben und unsere Kreativität in der Digitalisierung laufen lassen, der noch weit über das, was wir mit Attegut-Zertifkarten machen können drüber hinausgeht – und viele digitale Prozesse massiv und drastisch auch übrigens nicht nur digitale Prozese sondern analog digitale prozesse, so ein Anliegerpark aus Weiß ist ja ein Stückchen Papier, was im Auto liegt Auch das dann halt vertrauenswürdig, absichert und einfacher macht.

00:47:49: Sehr schön!

00:47:50: Ich höre auf jeden Fall schon raus es wird nochmal ein Update und Upranking bei uns.

00:47:55: Sehr viele spannende Neuigkeiten für mich auch dabei.

00:47:58: Toller Ausblick,

00:47:59: wie gesagt, so zweiter erste, die gleich mit der Hände eingetragen.

00:48:03: Und glaube damit haben wir glaube ich schon mal alle mitnehmen können.

00:48:07: auf der Haltung also zwei spannenden Themen.

00:48:10: Wir haben es geschafft die beiden Bisschen zu verbinden, wo ich mir sehr glücklich bin.

00:48:13: Ich habe mich vor echt wohl nachgedacht.

00:48:15: Gibt es noch so letzte Gedanken und letzte Worte?

00:48:17: Natürlich haben wir beide gerichtet.

00:48:19: Vielleicht ist dir Tim ja auch noch ganz viel eingefallen bei dem was Markus gerade erzählt hat.

00:48:24: Vielleicht magst du doch mal...

00:48:25: Ja, er war sehr spannend zuzuhören, zu sehen wohin dich die Eiders Welt entwickelt wie hoch der Grad der Digitalisierung noch führen wird Und ich glaube, dass auch im Bereich des NIS-Zweilumfeldes sich all das auch durchsetzen wird.

00:48:44: Dass es dort um sich greift gerade was die Identifizierung angeht im Hinblick zum Meldung eines Sicherheitsvorfall zur Registrierung als wichtige oder besonders wichtige Einrichtungen und nicht mehr über Älster sondern tatsächlich über eine eigene EID und dort auch die Schwierigkeiten vielleicht auch minimieren wird dass man dort mit dem BSI oder weitere Aufsichtsbehörden in Kontakt treten kann.

00:49:10: Also es war sehr interessant zuzuhören und ich habe bei den zweiten ersten auch notiert, ich werde es ebenfalls umsetzen.

00:49:15: also sehr gut.

00:49:17: Ich möchte nur festhalten das eben NIST II meiner Herausforderung von Unternehmen ist aber auch zugleich eine Chance unternehmen welche jetzt Daten stärken ihr Sicherheitsniveau nachhaltig Und die größte Gefahr liegt eben nicht im Regel weg an sich, sondern in mich zu tun.

00:49:36: Daher möchte ich gerne Werbung dafür machen, dass Unternehmen sich aufschlauen und sich Gedanken darüber machen welche Aufgabe sie auch im Rahmen, wenn sie krische Infrastruktur sind oder krischer Dienstleister sind, welche Aufgabe Sie haben im Sinne des Bevölkerungsschutzes?

00:49:56: Dass sie sich ihrer Verantwortung bewusst sind!

00:49:58: Und da möchte ich gerne dann alle appellieren, da die Aufgabe gut umzusetzen und wünschte dabei viel Erfolg.

00:50:05: Das kann nicht nur unterstreichen.

00:50:07: und vielen Dank, Tim!

00:50:09: Markus, von dir noch ein paar letzte Gedanken?

00:50:12: Ja, ich würde sozusagen die letzten zwei Sätze quasi mit rüber nehmen.

00:50:16: Wir müssen was tun.

00:50:18: Ich glaube nämlich auch dass das, was gerade als Ausblick gegeben habe, dass es erfolgreich ist letztendlich sind Wir diejenigen dies zu einer folgen machen.

00:50:28: wir die Unternehmen.

00:50:30: Die Behörden aber auch wir als Bürger, wenn wir die Werkzeuge akzeptieren und sie anbinden wollen und Sie werden jetzt mal attraktiv also in unserem geliebten Smartphone laufen dann wird es eine Erfolgsdorge werden.

00:50:44: Dann haben wir wirklich eine gute Chance Bürokratie abzubauen, weil es über IT geregelt werden kann und das kann unser Leben doch sehr viel komfortabler gestalten.

00:50:57: Vielleicht nicht für alle die nur einmal im Jahr einen Behördengang haben aber für genau die, die mehr als Einheit haben oder halt auch in anderen Ranges permanent Kommunikationen haben sei es dem Gesundheitswesen, sei es den Versicherungswesen wo auch immer.

00:51:14: wenn wir Diese Werkzeuge akzeptieren und nicht akzeptiert, sondern sie auch anwenden.

00:51:19: Dann wird es eine Erfolgs-Story weil dann wird sich keine Nationen dagegen verwehren können.

00:51:25: Vielen Dank auch dir Markus!

00:51:27: Ich kann das gar nicht toppen wenn ich ehrlich bin.

00:51:29: Es gab zwei tolle Statements von euch beiden.

00:51:32: So weit will ich das auch gar nicht versuchen zu poppen.

00:51:35: Ich bedanke mich ganz herzlich bei euch beiden für diesen spannenden Austausch, für das Upgrade und auch die neuen Informationen.

00:51:41: mal was ist die letzten fünf Monate?

00:51:44: zum Thema der NIS-II gewesen.

00:51:46: Wie immer an unsere lieben Zuhörer, wenn es noch Fragen im Nachgang gibt, hinweise wünsche immer gerne an infoattilitrust.de senden und dann versuchen wir natürlich auch darauf Antworten zu finden.

00:51:59: Ansonsten bleibt mir nichts anderes mehr als natürlich unseren Zuhöhrern zu danken und euch beiden daher viel vielen Dank und dann noch einen schönen Abendtag.

00:52:11: wie auch immer gerade die Uhrzeit bei dem Zuhöhrer sein mag!

00:52:15: Hinten.