Matthias Totzauer. Digitale Souveränität, Datenklassifizierung, Praxis.

In dieser Episode von GCC Perspektiven geht es um den
realen Unterschied zwischen „wir müssen Compliance erfüllen“ und
„wir machen das Unternehmen tatsächlich handlungsfähig“. Fabian
Flock spricht mit Matthias Totzauer, der aus der
klassischen Administration kommt und seit 2013 Unternehmen im
Umfeld Information Security begleitet, insbesondere in
Industrie, öffentlichem Sektor und weiteren stark regulierten
Umfeldern.


Zentraler Punkt der Folge ist die Einordnung von NIS2 als
Management und Führungsthema. Persönliche Verantwortung und
Haftung auf der Leitungsebene sind für Matthias ein
entscheidender Hebel, weil dadurch die Organisation gezwungen
ist, Wissen aufzubauen, Entscheidungen zu treffen und nicht nur
Aufgaben zu delegieren.


Gemeinsam sprechen wir über die typische Vorgehensweise aus der
Praxis. Erst Aufklärung und Ist Analyse, dann Zielzustand, dann
Delta und Umsetzungsroadmap. Dabei wird klar, warum Dokumentation
bei Changes und Major Changes häufig zu schwach ist, was das in
Audits und in Incident Situationen bedeutet und warum „historisch
gewachsen“ kein Argument für fehlende Nachvollziehbarkeit sein
darf.


Ein weiterer Schwerpunkt ist das Thema digitale
Souveränität und Datenflüsse. Wir ordnen ein, warum ein
vollständiger Plattformwechsel selten als Big Bang gelingt,
welche Schritte zumindest Risiken reduzieren können und weshalb
Datenklassifizierung nur dann wirklich hilft, wenn sie durch
technische Kontrollen, DLP Logik und klare Policies abgesichert
ist.


Zum Schluss gibt Matthias drei konkrete Leitplanken für
Organisationen. Bestandsaufnahme plus Zielbild, passende Partner
und Wissenstransfer, sowie konsequentes KVP, weil man in Security
und Compliance nie „fertig“ ist.


In dieser Episode
NIS2 ist Führungs und Managementthema, nicht nur
IT.Praxisvorgehen. Ist Analyse, Soll Zustand, Delta, Roadmap.Warum
die Umsetzung oft weh tut, weil das Delta größer ist als
erwartet.Dokumentation als Schwachstelle. Changes, Major Changes,
Nachvollziehbarkeit, Risikobetrachtung.Kontinuierliche
Verbesserung. Man ist nie fertig, weil sich Bedrohungslage und
Anforderungen weiterentwickeln.Digitale Souveränität. Warum
Alternativen häufig nur partiell funktionieren und Umstieg
Investition bedeutet.Datenklassifizierung. Metadaten reichen nicht,
es braucht Kontrollen und technische Durchsetzung.Kronjuwelen
Ansatz. Kritische Systeme, Abhängigkeiten, Wiederanlaufzeiten,
Auswirkungen pro Ausfallzeit.Übersetzen zwischen IT und Management
als Kernaufgabe.

Gast
Matthias Totzauer. Information Security Fokus, NIS2 und
Compliance, praktische Begleitung von Organisationen.


Host
Fabian Flock, Global Cyber Circle.