Cybersecurity ist Chefsache

In dieser Folge spreche ich mit Sander Rotmensen, Head of Business Line Cybersecurity Software for OT bei Siemens. Gemeinsam beschäftigen wir uns mit einem Problem, das viel zu oft ignoriert wird: In der Industrie heißt es häufig „Never change a running system“ patchen wäre zu riskant für Produktion und Sicherheit. Sander erklärt, warum genau dieses Mindset in der OT-Welt problematisch ist: Weil Transparenz über Assets, Firmwarestände und Häufigkeit von Updates fehlt, ist es oft unmöglich, Schwachstellen zuverlässig zu identifizieren und zu beheben. Wir gehen dabei folgende Themen durch: Warum klassische IT-Methoden (automatisches Scannen, schnelle Patches) in Industriesteuerungen selten funktionieren Wie wichtig eine gründliche Inventarisierung aller OT-Komponenten ist aktiv und auch Geräte, die selten online sind Wie man Schwachstellen-Management in der OT pragmatisch angeht: mit Tools, passenden Prozessen oder mit spezialisierten Dienstleistern Warum nicht jedes System einfach gepatcht werden kann Zertifizierungen, Safety-Regeln und Produktionszwänge sind entscheidend Wie moderne Ansätze aussehen können: Asset-Mapping + Risiko-Analyse + gezielte Updates oder Kompensationsmaßnahmen (Segmentierung, Monitoring, passive Überwachung) Warum OT-Security ein kontinuierlicher Prozess sein muss nicht ein einmaliges Projekt Am Ende geben wir einen pragmatischen Leitfaden: Transparenz schaffen, mit externen Integratoren oder Dienstleistern starten, Prozesse und Tooling etablieren und Sicherheit zur Chefsache machen. ____________________________________________ Mehr Informationen Name - LinkedIn Profil: ____________________________________________ Reinschauen lohnt sich! Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen. ____________________________________________ Du findest mich auf folgenden Social Media Kanälen: Instagram: cybersec_ist_chefsache TikTok: cybersec_ist_chefsache LinkedIn: nicowerner ...

In dieser Folge spricht Nico Freitag mit Dennis Buroh, Informationssicherheitsbeauftragter und CISO in der Minimax Viking Gruppe. Dennis verantwortet Informationssicherheit und Business Continuity Management für mehrere Gesellschaften weltweit und betreibt gleich fünf ISMS parallel von Entwicklung und Brandhäusern bis hin zu Produktion und Service im Feld. Im Mittelpunkt steht die Beziehung zwischen Entwicklung und Security. Dennis erzählt offen, wie Security schnell als „Bremse“ wahrgenommen wird, wenn sie erst kurz vor Go Live in Projekte einsteigt etwa bei der Einführung von PAM oder Sicherheitsreviews in letzter Minute. Gleichzeitig zeigt er, wie frühe Einbindung in Architektur und Design, klare Leitplanken und eine ehrliche Fehlerkultur dafür sorgen können, dass Security Teil des Codes wird und nicht nur ein Häkchen im Audit. Ein weiterer Schwerpunkt ist der Cyber Resilience Act mit Themen wie SBOM, Secure Development Lifecycle und mehrjähriger Updatepflicht. Dennis erklärt, was das konkret für Hersteller bedeutet vor allem in der OT, wo Anlagen jahrzehntelang laufen und warum SBOM und Sicherheitsanforderungen nur funktionieren, wenn Entwicklung, Security und Management gemeinsam daran arbeiten. Dazu kommen aktuelle Fragen rund um KI in der Entwicklung, Umgang mit Quellcode als „Kronjuwel“, Secrets, externe Dienstleister und Git Repositories. Außerdem geht es um: • wie du Security früh in den Entwicklungsprozess holst, statt am Ende alles zu stoppen • was der Cyber Resilience Act für Hersteller und langfristige Patches praktisch bedeutet • warum Bug Bounty kein Ersatz für Schulungen, Pentests und saubere Prozesse ist • wie Security Champions, Leitplanken und Fehlerkultur das Verhältnis zu Entwicklern verändern • welche Risiken KI Tools für Quellcode und Architekturwissen haben • warum Security für große Unternehmen gesetzt ist, im Handwerk und bei kleinen Betrieben aber oft noch als Luxus gesehen wird Eine Episode für alle, die Entwicklung und Security endlich als gemeinsames Projekt verstehen wollen ohne Bullshit-Bingo, sondern mit Praxisbeispielen aus einem Unternehmen, das jeden Tag sicherheitskritische Technik baut. ____________________________________________ Mehr Informationen Dennis Buroh - LinkedIn Profil: https://www.linkedin.com/in/dennis-buroh-77643811b/ ____________________________________________ Reinschauen lohnt sich! Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen. ____________________________________________ Du findest mich auf folgenden Social Media Kanälen: Instagram: cybersec_ist_chefsache TikTok:

In dieser Folge spricht Nico Freitag mit Dr. Daniel Meltzian, Leiter des Grundsatzreferats Cyber und Informationssicherheit im Bundesministerium des Innern. Der Zeitpunkt könnte kaum aktueller sein, denn am Tag der Aufnahme hat der Bundestag das NIS-2-Umsetzungsgesetz in zweiter und dritter Lesung verabschiedet. Daniel erklärt Schritt für Schritt, wie ein Gesetz in Deutschland entsteht. Vom ersten Entwurf über Haus und Ressortabstimmung, Kabinett, Bundesrat, Bundestag bis hin zur Veröffentlichung im Bundesgesetzblatt. Beim NIS-2-Gesetz zeigt sich, warum dieser Weg oft länger dauert, als viele erwarten. Politische Blockaden, die Auflösung der Regierung, Wahlen und zusätzliche politische Wünsche haben den Prozess deutlich verzögert. Ein Schwerpunkt der Folge ist die Frage, warum Deutschland wie viele andere EU-Staaten die EU Frist zur Umsetzung verfehlt hat. Daniel beschreibt offen, wie neun Monate Stillstand zwischen Ministerien entstanden sind und wie die neue Abteilungsleitung und veränderte Prioritäten schließlich Bewegung in die Sache gebracht haben. Außerdem geht es um Themen wie: • die Diskussion um kritische Komponenten und warum diese kurzfristig ins Gesetz aufgenommen wurden • die Rolle von Bund, Ländern und Kommunen bei der Cybersicherheit • warum die Bundesregierung nur die Ministerien, nicht aber die gesamte Bundesverwaltung regeln wollte • wie das Parlament in der jetzigen Version doch eine breitere Regelung durchgesetzt hat • welche Fristen jetzt gelten und warum das Gesetz vermutlich noch im Dezember in Kraft tritt • welche Aufgaben nun beim BSI und in den Unternehmen liegen • wie NIS-2 im Kontext anderer EU-Regelwerke wie dem Cyber Resilience Act und dem AI Act steht • welche nächsten großen Themen im Innenministerium anstehen, darunter aktive Cyberabwehr und die neue Cybersicherheitsstrategie Die Folge zeigt, warum Cybersicherheit politisch, organisatorisch und rechtlich komplex ist und wie viele Faktoren darüber entscheiden, wann ein Gesetz wirklich kommt. Gleichzeitig wird deutlich, wie groß der Druck inzwischen ist, weil die EU bereits ein Vertragsverletzungsverfahren gestartet hat. Ein Blick hinter die Kulissen, der selten so offen erzählt wird. ____________________________________________ Mehr Informationen Name - LinkedIn Profil: ____________________________________________ Reinschauen lohnt sich! Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen. ____________________________________________ Du findest mich auf folgenden Social Media Kanälen: Instagram: cybersec_ist_chefsache TikTok:

In dieser Folge spricht Nico Freitag mit Ferdinand Geringer, Sicherheitsexperte der Konrad-Adenauer Stiftung. Täglich beschäftigt er sich mit Cyber-Sicherheit, hybriden Bedrohungen, Desinformation, Sabotage und kritischen Infrastrukturen und erklärt, warum Deutschland heute verwundbarer ist, als viele glauben. Der Schwerpunkt: Was bedeutet „Ernstfall“ im Jahr 2025 wirklich und wie bereiten wir uns sinnvoll darauf vor? Ferdinand ordnet ein, warum wir hybride Angriffe, Spionage, Drohnenvorfälle, Lieferkettenrisiken und digitale Manipulation längst im Alltag sehen, sie aber oft falsch interpretieren. Und warum Resilienz nicht durch Alarmismus entsteht, sondern durch realistische Vorbereitung, Vertrauen und klare Kommunikation. Wir sprechen außerdem über: • wie hybride Angriffe funktionieren und warum sie kaum jemand bemerkt • weshalb Deepfakes gefährlicher sind als je zuvor • warum Bürokratie und föderale Strukturen Sicherheit manchmal ausbremsen • welche Rolle der neue Nationale Sicherheitsrat spielt • wieso Medienkompetenz in Familien genauso wichtig ist wie in Unternehmen • wie Unternehmen und Bürger sich auf Ausfälle besser vorbereiten können • was wir von Ländern wie Schweden bei der Krisenvorsorge lernen sollten Diese Episode zeigt: Sicherheit entsteht heute nicht durch Perfektion, sondern durch pragmatische Vorsorge privat, staatlich und gesellschaftlich. Mehr Informationen Ferdinand Geringer LinkedIn: https://www.linkedin.com/in/ferdinand-geringer Mehr Informationen Name - LinkedIn Profil: ____________________________________________ Reinschauen lohnt sich! Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen. ____________________________________________ Du findest mich auf folgenden Social Media Kanälen: Instagram: cybersec_ist_chefsache TikTok: cybersec_ist_chefsache LinkedIn: