Antifragil in der VUKA-Welt: Digitale Transformation zwischen Regulierung und Realität🔥

In dieser Folge des Chaos Hacker Talk spreche ich mit Oliver Schacht, dem Geschäftsführer von Life Science Nord und langjährigen CEO börsennotierter Biotech-Unternehmen. Wir beleuchten, warum die deutsche Biotech-Szene besser ist als ihr Ruf und wie man in einem hochregulierten Umfeld agil bleibt, ohne die Bodenhaftung zu verlieren.





Der Standort-Vorteil Europa: Warum der EU-AI-Act und die MDR/IVDR keine Innovationsbremsen sind, sondern verlässliche Rahmenbedingungen schaffen, die uns international abheben. KI in der Life Science: Ein Blick zurück auf 30 Jahre Machine Learning – von Support Vector Machines 1999 bis hin zu modernen prädiktiven Modellen für Antibiotika-Resistenzen. Führung & Fehlerkultur: Warum das Ausbleiben von Fehlern ein Warnsignal für mangelnde Innovation ist und wie man Teams in haftungskritischen Bereichen (PRRC) psychologische Sicherheit gibt. Kapitalmarkt vs. Regulierung: Der Umgang mit „Moral Hazard“ und warum es im Business keine Abkürzungen (Shortcuts), wohl aber effiziente Wege gibt. Strategischer Kostenvorteil: Ein überraschender Vergleich – warum High-Tech-Entwicklung in Deutschland bis zu 2,5-mal günstiger sein kann als in den USA.


Über den Gast:


Oliver Schacht ist ein „erfahrener Hase“ der Biotech-Branche. Er begleitete mehrfache Börsengänge (IPOs), ist im Vorstand der Bio Deutschland aktiv und leitet heute das Cluster-Management Life Science Nord.





Empfehlungen:


Buch/Content-Tipp: Podcast-Serie „Willing to Win“ von Christian Rados. Das Gelassenheitsgebet: Olivers persönlicher Anker für pragmatische Entscheidungen. Vernetzung: Oliver Schacht auf LinkedIn.

Hast du schon mal versucht, AWS, SAP oder Microsoft wirklich zu auditieren? Und trotzdem laufen deine kritischen Prozesse genau dort.


In dieser Folge spreche ich mit Robert Geiger-Lebailly, Product Owner für GxP Compliance bei SAP, über eine Frage, die viele IT- und Compliance-Verantwortliche im regulierten Umfeld beschäftigt - aber kaum jemand offen diskutiert:


Wie qualifiziert man große Cloud-Anbieter risikobasiert - ohne regulatorische Scheinsicherheit zu erzeugen?


Wir sprechen über:


Warum „kritischer Lieferant“ nicht automatisch „Vor-Ort-Audit“ bedeuten muss Wieso 30 Jahre alte Regularien moderne Cloud-Architekturen nur unzureichend abbilden Das Missverständnis rund um Begriffe wie Quality Management oder User Access Management Warum 85 Prozent aller Supplier Questionnaires identisch sind - und trotzdem am Ziel vorbeigehen Wie ein SOC 2 Plus GxP-Ansatz echte Transparenz schaffen könnte Was der Finanzsektor mit DORA vormacht - und was Life Sciences daraus lernen kann


Es geht nicht darum, Compliance abzuschaffen. Es geht darum, sie intelligent zu gestalten.


Wenn du als CIO, IT-Leiter, QA-Verantwortlicher oder Geschäftsführer mit Cloud-Strategien im regulierten Umfeld unterwegs bist, bekommst du hier Impulse für:


effizientere Lieferantenqualifizierung belastbarere Risikoabschätzung weniger Audit-Theater mehr echte Transparenz

In dieser Episode des Chaos Hacker Talk begrüßt Christof den erfahrenen Life-Science-Leader Daniel Rupprecht (Head of EHSQ, BASF Grenzach). Gemeinsam hacken sie die Herausforderungen der VUCA-Welt im hochregulierten Umfeld. Die Diskussion spannt den Bogen von der notwendigen Psychological Safety in Qualitätsorganisationen über den Unterschied zwischen reiner Compliance und echtem Qualitätsmanagement bis hin zur Integration von EHSQ-Prozessen. Daniel Rupprecht plädiert leidenschaftlich für Intrapreneurship und erklärt, warum Führungskräfte in der Pharma- und Chemieindustrie heute eher „Leader“ als reine „Fachexperten“ sein müssen, um die digitale Transformation erfolgreich zu meistern.





Key Takeaways


Psychologische Sicherheit als Qualitätsfaktor: Eine offene Fehlerkultur ist im GxP-Umfeld essenziell; nur wenn Mitarbeiter keine Angst vor Sanktionen haben, werden Risiken rechtzeitig transparent.


Quality vs. Compliance: Während Compliance die gesetzlichen Leitplanken markiert, bedeutet Qualität, interne Prozesse so zu steuern, dass sie sowohl sicher als auch wettbewerbsfähig sind.


Intrapreneurship im Konzern: Mitarbeiter benötigen echte Entscheidungsfreiheit und ein unternehmerisches Mindset, um agilen Methoden wie Scrum oder agiler Prozessgestaltung Leben einzuhauchen.


Die Falle der Tool-Explosion: Digitalisierung scheitert oft an einer redundanten IT-Landschaft. Echter Mehrwert entsteht nur, wenn Tools Prozesse vereinfachen, statt Mitarbeitern Doppeleingaben in Silo-Systemen abzuverlangen.


Leadership-Shift: In einer komplexen Welt ist die Fähigkeit, diverse Teams zu führen und Verantwortungen zu delegieren, wichtiger als die tiefste fachliche Detailkenntnis des Vorgesetzten.


Frühe Einbindung der Qualität: Um Kosten zu senken, muss Quality bereits in der R&D-Phase integriert sein, anstatt Fehler erst in der Marktphase „gesundbeten“ zu wollen.





Links & Ressourcen aus der Episode


Buch-Empfehlung: Turn the Ship Around! von David Marquet


Daniel Rupprecht


Christof Layher

Cybersecurity endet nicht im Rechenzentrum.


In dieser Folge des ChaosHacker-Talks sprechen wir über die Systeme, die wirklich kritisch sind: Produktionsanlagen, Steuerungen und industrielle Automatisierung.


Mein Gast ist Sarah Fluchs, Automatisierungsingenieurin, Security-Expertin für industrielle Systeme und Mitglied der Cyber Resilience Act Expert Group der EU-Kommission.


Wir schauen gemeinsam auf eine Realität, die viele Unternehmen unterschätzen: Während IT-Security inzwischen relativ etabliert ist, stehen viele Produktionsumgebungen erst am Anfang.


Dabei geht es hier nicht nur um Daten. Es geht um Ventile, Motoren, Produktionslinien – und im Life-Science Umfeld letztlich um Patientensicherheit.


Ein zentraler Teil der Diskussion ist der Cyber Resilience Act (CRA) der EU. Er verpflichtet Hersteller erstmals dazu, Security bereits im Produktdesign zu berücksichtigen.


Für Unternehmen bedeutet das:


Produkte ohne Security-Konzept werden künftig nicht mehr verkäuflich sein Betreiber müssen stärker verstehen, was in ihren Anlagen wirklich passiert und Security muss früh im Engineering-Prozess beginnen – nicht kurz vor Go-Live.


Wir sprechen außerdem über:


die Unterschiede zwischen IT und OT warum viele erfolgreiche Angriffe auf banalen Basics beruhen warum Security oft an der falschen Stelle diskutiert wird und warum eine saubere Risikoanalyse eines der mächtigsten Werkzeuge überhaupt ist.


Kurz gesagt: Wenn Digitalisierung Produktion verändert, muss Security mitdenken.


Und zwar von Anfang an.


OT-Security ist nicht gleich IT-Security Produktionssysteme haben andere Anforderungen – etwa Echtzeitfähigkeit, deterministische Kommunikation und lange Lebenszyklen. Der Cyber Resilience Act verändert die Spielregeln Hersteller müssen künftig Security-Anforderungen erfüllen, um digitale Produkte überhaupt verkaufen zu dürfen. Security by Design statt Security als Nachgedanke Sicherheitsanforderungen müssen bereits in Engineering- und Designprozessen berücksichtigt werden. Viele Angriffe nutzen simple Schwachstellen Offene Ports, fehlende Netzwerksegmentierung oder mangelnde Transparenz sind häufig die eigentlichen Probleme. Risikoanalyse ist ein Entscheidungswerkzeug Sie hilft zu priorisieren, wo Security wirklich relevant ist – und wo nicht. Security darf keine Angstkommunikation sein Ziel ist nicht, Nutzer einzuschüchtern, sondern Systeme so zu gestalten, dass Menschen sicher arbeiten können. Ein gutes Systemverständnis ist der Schlüssel Wer seine Prozesse, Systeme und Abhängigkeiten nicht versteht, kann auch keine wirksame Security aufbauen.


Cyber Resilience Act (EU) https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act


Konferenz: Security unter Kontrolle https://security-unter-kontrolle.de


Buch: Countdown to Zero Day – Kim Zetter https://www.penguinrandomhouse.com/books/318336/countdown-to-zero-day-by-kim-zetter/


Buch: Sandworm – Andy Greenberg https://www.penguinrandomhouse.com/books/561678/sandworm-by-andy-greenberg/


Norm für OT-Security: IEC 62443


Key TakeawaysLinks aus der Episode