 Eine kurze Frage bevor wir anfangen, wer von euch streitet sich gerne? Nicht so viele, wer streitet sich nicht gerne, hat aber trotzdem meistens Recht. Ja, ich würde sagen mindestens 50% und als jemand der im Bereich Datenschutz arbeitet, frage ich mich ja, warum so die es hat Recht, streitet sich aber nicht gerne. Nicht Teil der Berufsbeschreibung ist von allem, was man so im Bereich Datenschutz Informationssicherheit macht, denn darauf läuft es ja meistens so ein bisschen in der Praxis raus. Und genau darum soll es in diesem Tor gehen, es geht darum, wie Risikomanagement und Informationssicherheit in der Praxis aussehen, am Beispiel der sogenannten Bank B. Und den Vortrag wird halten, die Jula, sie weiß wovon sie redet, denn sie ist selbst in der Finanzbranche tätig. Ein ganz herzlichen Applaus für die Jula. Dann schön, dass ihr so früh, 12 Uhr, schon wach seid und da seid, um euch für so ein Thema begeistern könnt. Und es ist tatsächlich so, ich streite mich gerne und ich habe immer Recht. Ich bin also von der Fraktion. Ja, Informationssicherheit, Artirisikomanagement, am Beispiel von Bank B. Ich möchte so ein paar Sachen vorausschicken. Ich habe leicht juristischen Hintergrund. Ich möchte tatsächlich nicht den juristischen Hintergrund machen. Ich liebe Auslegungsdiskussion. Die meisten Menschen finden es so total langweilig. Deswegen lasse ich das heute einfach mal weg. Die zweite Sache ist, es ist Bank B und ich stehe mit einem Bild. Einfach aus dem Grund, es ist eine fiktive Bank. Das sind fiktive Beispiele. Jede Ähnlichkeit zu natürlichen, erfundenen Einhörnern, Aliens, Personen, Menschen, was auch immer, ist natürlich rein fiktiv. So, ich, mir wurde mal gesagt, so in jeder Präsentation sollte zumindest ein Zitat drin sein. So, irgendwas total Tolles. Und ich dachte mir so gut, was mag ich? Dann war so, ach, zwei Herzen schlagen in meiner Brust. Ich und auch ich. Ihr werdet gleich sehen, warum? Ich. 29, also nächstes Jahr werde ich 30, die magische Grenze, mir egal. Und der beste Premium R-Fahr definitiv, da in der zweiten Reihe extra für mich da, Karstoff. Also wenn die mal in Düsseldorf seid, geht vorbei. Lohnt sich. Ich bin leider nicht so oft da, wie ich im Moment gerne möchte, weil ich derzeit in Frankfurt wohne. Auch sehr schön, da gibt es tollen Appler, das ist so vergorene Apfel. Okay, Unverständnis. Gut, kennt man hier nicht. Ich bin so, wie funktioniert das denn? Kann das kaputt gehen? Was passiert, wenn ich auf den Knopf da drücke? Krach. Oh, ich weiß nicht. Nebenbei habe ich auch mal so ein bisschen Python gelernt. Danke an den Python-Fu, auch in Düsseldorf. Ich war auf einem Backhoody-Treffen und habe ganz, ganz viel auf so kleine Kästchen in Eida gestarrt. Und das war noch viel großartiger. War auch eine tolle Atmosphäre. Aber hauptsächlich bin ich ein. Oh, es könnte kaputt gehen. Ihr findet mich auch im IAC eben unter dem Handel UDX NC oder unter Dula. Da ist im Moment aus Gründen so ein kleines Schlösschen an meinem Account. Ihr könnt aber trotzdem gerne einfach mal entweder Hallo sagen, eine Anfrage stellen und dann schalte ich euch frei. Jetzt kommt die erste Anhängdote. Ich weiß gar nicht, ob er da ist, aber ein ganz, ganz liebe Freund von mir sagt dir irgendwann mal so, ja, wenn ich dich manchmal sehe, dann muss ich immer kurz überlegen. Was meinst du denn jetzt? Ja, du siehst, wenn du von der Arbeit kommst, immer ganz anders aus. Ja, also ich bin hier heute privat, ne? Aber wenn ich von der Arbeit komme, dann sehe ich halt ein bisschen anders aus. Da habe ich einen Anzug an und so Zeugs. Auch ich, ja, das ist dann die andere Seite von mir. Ich bin gelernter Investmentvorkauf-Frau, sowas ähnliches wie Bank, nur mit Investmentfonds. Ja, habe dann auch nebenbei noch ein Bachelor auf Laws gemacht, das heißt eben so ein bisschen Wirtschaftsrecht und so ein Hintergrund. Und möglicherweise, wenn ich es irgendwann mal schaffe, habe ich auch ein Master of Science, weil ich so ein Wirtschaftsinformatik Studium angefangen habe, wenn ich immer Zeit habe. Komme eigentlich so aus dem Bereich von AML Fraud, also Finanzbereich und das ist dann Verhinderung von Geldwäsche und sonstigen Strafhandlungen. Er öffnet ziemlich viel Platz für blöhe Witze, besonders die sonstigen Strafhandlungen bei meinen Kollegen. Ist aber recht spannend, wenn man dann überlegt, wo kommt eigentlich Geld von nach über und wer kriegt das dann am Ende? Kommen daher, habe durch verschiedene Zufälle jetzt einfach tatsächlich auch einen Platz in einer der Weg vorgefunden, im Bereich Informationssicherheit, also offizielles Information Security-Konsultant und macht dann alles was so Informationssicherheit, IT-Risiko-Management, ISMS, so mit zu tun hat. Das ist dann so mein Bereich bei Banken. So, genug über mich. Was passiert hier heute? Wie gesagt, es sind auch tatsächlich so die Grundlagen, damit ihr versteht im Zweifelsfall, da sitzt ein Mensch, vielleicht in der Bank oder so, Versicherungen sind meistens ähnlich, der will irgendwas von mir, was will er jetzt eigentlich, ja, wo kommt er her? Weil ich gerade meine Arbeit sehr oft merke, dass dieses Verständnis untereinander ein bisschen schwierig ist, also so technikaffine Menschen und Businessmenschen, ja, das ist mal so ein bisschen knifflig und ich versuche da immer so zu vermitteln, und deswegen habe ich auch den Talk eingereicht. Ich hätte nicht gedacht, dass er genommen wird, er wird genommen, yay! Das ist mein zweiter Kongress, also das muss man dazu sagen, ich finde das großartig. So zwei Themenblöcke, Informationssicherheit, also wo kommt das eigentlich her? Dann die ganzen Sachen mit Schutzbedarf, also die Schutzziele, Schutzbedarf, Analyse, wie stellt man das Ganze also fest? Was kann man da machen? Und es geht um Alkohol, kann ich gleich schon sagen, und die Standards, die sind aber so ein bisschen untergeordnet. IT-Risiko-Management auf der anderen Seite ist dann so was wie, okay, wir haben Risiko, wir haben eine Bedrohung, was heißt denn das jetzt eigentlich? Wie stellen wir das fest? Der ganze Risikokreislauf und dann, genau, quantifiziert die Ansätze, dann wird es ein bisschen bunt, blinkt nicht, aber wird bunt, und die Risikobahnlung, und jetzt, das macht nichts im Fang damit. Ich versuche auch ganz, ganz viele Beispiele einfach reinzubringen, damit er mal so ein bisschen Gefühl für bekommt, das ist im Sinne meistens relativ lustig. Informationssicherheit, Punkt eins. Sicherheit, da hatten Schutzanko und ich will da auch gar nicht so viel zu sagen, weil ich glaube, wir hatten gerade in den letzten Tagen auch einen ganz, ganz tollen Talk, zum Beispiel eben über Datenschutz. Da geht es um nicht nur um informationelle Selbstbestimmung, noch ganz, ganz viel mehr. Den kann man dann auch natürlich ganz wunderbar auf dem Stream dankend nochmal an die Technik engeln, dann auf dem Stream natürlich auch angucken, personenbezogene Daten. Ja, und dann stimmt meistens so, wenn man in der Bank auf der Weg ist, auch noch ganz viel mehr auf einen ein. IT-Sicherheit, okay? Und die meisten Leute in der Bank verwechseln das tatsächlich, dann auch so, hey, wir haben Datenschutzbeauftragungen, wir haben IT-Sicherheitsmännchen, wir haben Cyber-Sicherheit und die so. Und dann ist es eben ganz vorbei. Meistens sind es dann auch dieselben Personen und dann sind sie endgültig verwirrt. Aber, genau, IT-Sicherheit sind die elektronisch gespeicherten Informationen, und da geht es aber auch so was um, ist jetzt tatsächlich der Rechner oder es steht der Surfer irgendwo, und da tropft es durch die Decke und das sieht nicht gut aus. Auch schon vorgekommen. Es kann man mit Babybadewanne übrigens sehr gut lösen, habe ich rausgefunden. Weiß nicht, ob man sie danach noch für Babys verwenden kann. Und Information-Sicherheit, das ist dann ganz allgemein so ein bisschen größer der Schutz von Informationen, egal ob digital oder analog. Das heißt, nicht nur wenn ihr jetzt euren Rechner hier stehen lasst und ihr lasst den offen und man könnte reingucken, sondern theoretisch auch sowas wie ihr lasst euren Notizbuch hier liegen, wäre dann auch ein Thema von Information-Sicherheit. Was ist Sicherheit? Ja, ich finde die guten Definition so ein bisschen langweilig. Sicher sein, geschützt sein vor Gefahr oder Schaden. Ich weiß nicht, war jemand bestimmt auf dem MAMCD dieses Jahr? Da gab es einen ganz, ganz tollen Talk von Michael Wiesner, also Michael und mit dem T-Shirt. Daran kann ich mich erinnern, ich bin mit dem Namen nicht so gut, mit T-Shirts schon. Und der sagte, das ist das Abwesenheit sein, ja sicher, das ist Abwesen sein von nicht beherrschbaren Gefahren. Fand ich großartig, nicht beherrschbare Gefahren, gibt es nicht. Also wir haben uns dann auch drüber unterhalten, es ist tatsächlich so, ja, nicht beherrschbare Gefahren. Also immer, es passiert immer was. Schutzziele, das ist das, womit ich mich den ganzen Tag rum schlage und auch die Bank dann ärgere. Integrität, Verfügbarkeit, Vertraulichkeit. Ich erkläre gerade gleich auch noch, warum das so ein bisschen abgesetzt ist. Integrität, keine Bank will, dass die Daten verändert wurden oder werden. Ganz großartiges Beispiel. Wie kriegen Modelle angeliefert, die den Wert der Bank bestimmen? Müssen wir die jetzt schützen? Ja, können wir ja übermorgen berechnen. Aber wenn halt die Berechnungsdatei darunter falsch ist, ist das schon ziemlich scheiße. Oder wenn man irgendwie ein Deal abwickeln will und gibt die Daten ein und merkt, so nachher so, war was falsch. Blöd. Punkt zwei, ja, die Verfügbarkeit. Fallen halt die ganzen Sachen aus, denn die Information nicht mehr verfügbar ist auch irgendwie doof. Dann sitzt man halt da und sagt, ja ich kann jetzt mein Handelssystem gerade mal so nicht starten. Ja, was mache ich denn jetzt? Ich kann mich nicht am Kleint anmelden. Auch blöd. Dann klicken die Leute immer so ganz weit auf die Mäuse. Auch gesehen. Vertraulichkeit. Ja, wir wollen auch nicht, dass Kunden dann veröffentlicht werden. Die meisten Leute denken tatsächlich auch immer so an diese Vertraulichkeit, wenn sie an Informationssicherheit denken, weil sie denken, okay, die Daten könnten veröffentlicht werden. Aber Informationssicherheit ist doch so ein bisschen größer einfach nochmal, weil man dann doch sagen muss, was ist denn, wenn die wegkommen, wenn die geändert werden, laute solche Sachen. Also nur der reine Wegkommen, sie werden veröffentlicht, ist nun ein ganz ganz kleiner Teil davon. Und so ein bisschen dazu kommt eben auch die Authentizität. Dass man sagt, weiß ich denn jetzt eigentlich inzwischen auch, wo kommen meine Daten her? Ist es auch tatsächlich derjenige, der sich dafür ausgibt, derjenige, welche zu sein. Wenn man das nicht so wie ich unter anderem stapelt, sondern in so einem Dreieck, dann habe ich mal gehört, ist es ein C-I-A-Triade. Ich fand es so ganz gut, weil so kann man sich das mal einfach vorstellen. Also gibt nicht nur einen Block einfach. Und es ist ganz wichtig, dass eine Information, auch wenn ich sie bewährte, immer von diesen drei Aspekten einfach abgedeckt wird. Sonst betrachte ich vielleicht, sie fällt aus, aber ich betrachte nicht, was passiert eigentlich, wenn sie nicht das sagt, was sie eigentlich sagen sollte. Mein Lieblingsparte, Alkohol. Am frühen Morgen zwölf, finde ich super. Schutzbedarfsanalyse. Und gerüchteweise gucken auch meine Kollegen auf dem Studio zu. Ich habe sie dazu bekommen. Sie haben gefragt, ob sie Fragen stellen dürfen. Ich sagte erst mal, wenn sie eine Frage stellen, werde ich Details über sie erzählen oder so was. Sie haben auch gefragt, ob sie Tomatenwerfer engagieren können. Ich auch verneint. Ich hoffe, es ist keiner da. Es geht um Alkohol und ich weiß auch nicht, ob euch das aufgefallen ist. Aber Chunk hat hier echt die Eigenschaft, ziemlich schnell aus den Gläsern zu verschwinden. Also kaum hatte ich irgendwie so einen Chunk in der Hand, war das Glas schon wieder leer. Deswegen ist da kein Bild von einem Chunk. Eigentlich sollte da Chunk sein. Was habe ich gefunden? Martini. Ich habe zum ersten Mal dieses Jahr Martini getrunken und das ist noch nicht mal richtiger Martini, das ist so mit Gin drin. Und für mich wichtig an diesem Martini Glas, also außer dass es dreieckig ist, musste auch sein, die Oliven. Ich liebe Oliven. Ich weiß nicht, ob irgendjemand schon euch Oliven mag. Ah, Oliven, großartig. Wir sind hier, glaube ich, ein bisschen jetzt auf dem stechten Fuß, weil das Ding ist Schutzbedarfsanalyse. Wie mache ich das? Ich mache das eben jetzt an einem Beispiel von einem Supermarkt. Also ich muss wissen, was habe ich eigentlich? In dem Fall ist es Martini, Gin, Oliven. Ganz wichtig. So, und jetzt bin ich also dieser Supermarktbesitzer. Das kommt jetzt am ehesten weg. Was ist jetzt das wichtigste für mich? Womit kriege ich vielleicht auch am meisten Geld? Dann ist es wahrscheinlich leider nicht die Oliven, sondern sagen wir mal der Gin, Spip. Einfach irgendwie sympathischer als der Martini. Was mache ich dann als Supermarktbesitzer? Nee, ich sichere nicht meinen Obst und Gemüseregal und ich sichere nicht irgendwie die Süßigkeiten, wobei die sind bestanden, auch sehr interessant. Sondern ich nehme meinen ganzen Alkohol, stecke den in den Glaschrank, schließe ihn am besten noch ab, stelle den nahe der Kasse auf und gebe den Kassierer dann in die Schlüssel und die sagen, okay, wenn jemand den Gin haben möchte, dann gehst du mit dem Andersregal, holst den Gin raus und schließe es wieder ab. Also aufschließen, ausholen, abschließen. So, der Supermarkt hat man also erkannt, was ist schützenswert? Nicht die Oliven, sondern der Gin in dem Fall. Stellt Martini auch noch in das Glasregal und schützt diese Informationen entsprechend und sagt, okay, ich stelle das in Sichtweite auf, ja, ich schließe das ab, da kann nicht jeder ran, nicht jeder hat einen Schlüssel, nicht jeder kann das einfach so in die Hosentasche stecken, wenn die Hosentasche groß genug ist. So, Schutzbilder aus Analyse, ja, ganz einfach und kurz. Das Ding ist, vielleicht wird der Gin ja auch vorher irgendwo in einem Lager gelagert, wer kann denn jetzt eigentlich zu dem Lager, kann da einfach jeder rein, wird die Tür abends abgeschlossen, wer vielleicht auch was, ja, oder wenn ich den Gin kaufe und ich leg den dann irgendwo draußen einfach erst mal ins Auto, lasst das Auto offen oder stellen draußen vor die Tür, weil ich muss noch irgendwie was aus meiner Tasche holen. Aber das ist dann weiterführen so ein bisschen. Erstmal Schutzbedarfsanalyse, Supermarkt Gin bei der Kasse. Die drei Schritte, jetzt sozusagen tatsächlich auf die Schutzbedarfsanalyse, Objekt, Beurteilung, also Objekt ist in dem Fall eigentlich unser Gin und der Martini und dann ist es die Information, die wir schützen wollen bei der Informationssicherheit. So, das heißt, man überlegt sich, welche Informationen habe ich eigentlich? Ja, was ist für mich als Bank besonders wichtig? Mitarbeiterdaten, Kundendaten, Gehaltsdaten, was ist das Objekt gerade wert? Was ist der Vorwert? Ja oder so Sachen, ja, wann wird vielleicht auch irgendwie was abgeschaltet, geupdatet? Hat es denn überhaupt das neueste Update? Auch ganz großartig, ja, passiert auch, nee, Update nicht da, verschwunden, vergessen, verloren. Das andere ist, wir haben Prozess, also wie Lagerstrecke, Lieferstrecke. Wenn ich jetzt zum Beispiel Bilanzdaten von der Bank nehme, ja, die meisten Banken müssen Bilanzdaten veröffentlichen. Gibt es eine Regel für, großartig, Regel. Dann passiert Folgendes, bevor das veröffentlicht wird, ja, ist das erst mal noch sehr schutzbedürftig, weil ist ja noch nicht fertig, soll ja noch keiner wissen. Da geht es dann auch sowas um Insiderhandel, zum Beispiel, ja, also, weil solche Informationen können ja zum Beispiel, wenn es eine aktie notierte Bank ist, den Wert der Aktie beeinflussen. Und dann ist es wichtig, das vorher vielleicht zu wissen, was da passiert, weil da kann man verkaufen und kaufen. Soll also vornehmen wissen, sehr schutzbedürftig. Wenn dann der Bericht raus ist, dann ist diese Information, wir sagen der Informationscluster, nicht mal so schutzbedürftig. Aus dem einfachen Grund, weil dann ist es ja veröffentlicht, dieser Bericht, dann weiß es ja jeder, was da drin steht, ja. Dann hat sich der Markt, den Verbenen Aktien, einfach schon bewegt. Dann ist es eine ganz andere Bewertung für dieses Informationscluster, als der Bericht ist noch nicht veröffentlicht. Also muss man auch auf die Prozesse gucken. Und dann kann man auch gucken, die Anwendungen, ja. Also, wenn die Information in verschiedenen Anwendungen drin ist und ich mache eine ganz, ganz sicher, so wie vielleicht den Laden, den Supermarkt. Aber mich interessiert nicht, dass das Lager hinten eigentlich nur so eine Holzhütte ist und die steht offen und da kann jeder rein, weil da guckt auch niemand drauf. Ja, dann ist halt wahrscheinlich, dass da irgendwo eher meine Informationen weg kommen, als in dem gesicherten Supermarkt. Also man guckt sich dann tatsächlich den ganzen Prozess an, die ganzen Anwendungen, wo steht die Information drin, das heißt dann eben Informationscluster in verschiedenen Situationen und sagt dann, was ist denn jetzt wichtig und wie wichtig, wie sehr muss ich jetzt irgendwas davon schützen. Ja, und das ist manchmal so ein bisschen schwierig, weil man dann unterschiedliche Verständnisse hat, wo hört jetzt da eine Prozesse auf, wo fängt der andere an? Wo ist jetzt der Schutzbedarf tatsächlich drin? Brauche ich jetzt diese Information einmal veröffentlicht zum Beispiel, einmal nicht veröffentlicht. Und das so synchronisieren gerade, wenn man jetzt bei einer Bank zum Beispiel, hat man öfters mal verschiedene, also nicht nur eine große Bank, sondern auch Tochterunternehmen, die damit drin sind, die dasselbe System verwenden wollen, weil wäre ja toll. Ja, dann wird es ein bisschen knifflig. Die zweite Sache ist die Beurteilung und dann wird es wirklich Schutzziele. Das ist das, was wir eben gesehen haben mit den drei Schutzzielen, Vertraulichkeit, Identität, Verfügbarkeit. Jetzt guckt man sich dann also für die Information an und sagt dann, was für ein Schutzbedarf hat dieses Informationscluster. Ja, dann gibt es einen Klassen dafür, die sind tatsächlich standardisiert, also gibt einen Vorschlag vom DSI. Toll, so geringen Mittel hoch oder sehr hoch. Man kann natürlich auch anderen nehmen. Ja, man kann auch mehr nehmen, weniger. In der Regel sind es dann irgendwie so, Beispiel Bank B hätte so 1, 2, 3, 4, 4 ist das höchste. Ja, das Problem ist, wir haben Schutzziele, wir haben Schutzbedarfsklassen und was passiert jetzt? Jeder ist wichtig. Wahnsinnig wichtig. Ja, also gibt zwei Fraktionen eigentlich um genau zu sein. Jeder ist echt wahnsinnig wichtig und nee, ich bin gar nicht wichtig. Ich habe eigentlich gar kein Bock auf den Scheiß. Toll. Und das hat dann zwei Auswirkungen. Auf der einen Seite haben die Leute gesagt, boah, ich bin so wahnsinnig wichtig. Die haben dann irgendwie so eine Exel-Markro-Datei rumfliegen, da werden Zeugnisse mitgeschrieben. Also so Textbausteine, so, hey, der war gut, 1, 2, 3, 4, 5, 6, notenmäßig. Und dann klicken die irgendwie fünf mal an, dann kriegen sie so Textbausteine zusammengeworfen und schreiben da aber noch mal so ein bisschen Persönlichkeit rein. Und sagen aber, ist voll wichtig. Was passiert, dass wir so eine popelige Exel haben, die sagt, sie ist voll wichtig und deswegen muss sie ganz, ganz viele Schutzmaßnahmen haben, weil sie ist ja so wichtig. Also die tut sozusagen so, als wäre sie ein Gin und es eigentlich eine Olive und eine Kiwi oder ein Brokoli und eine Banane. Ich mag Bananen, also keine Banane. Und das andere ist, eigentlich habe ich keinen Bock auf den Scheiß, weil da muss ich ja Sachen machen. Also hat irgendjemand was, ein System, das schon ziemlich wichtig ist, vielleicht Zahlungsdaten rumschubst oder Rechnungen freigibt und sagt, ja, aber eigentlich habe ich da vielleicht auch gar nicht so viel mit zu tun, weil die Anwendung liegt ja bei dem Dienstleister und der macht ja auch Updates. Ist auch gar nicht so wichtig und wenn es ausfällt, ja, dann fällt es halt aus und meine Güte interessiert mich doch nicht. Ja, und dann bewerten die das ganz, ganz niedrig, was heißt. Es gibt nicht so viele Schutzmaßnahmen, weil sie tun so, als wären sie ein Brokoli oder ein Kohl, weiß ich nicht. Obergine, Obergine ist glaube ich, Gemüse, das geht nicht so. Und dann liegt diese Information da vielleicht irgendwo rum, ja, und man merkt nachher so, oh, das ist vielleicht nicht so gut, weil die war vielleicht doch wichtig. Ja, und dann kann aber irgendjemand, weil, oh, das steckt sich an so Kohle in die Tasche. Unwahrscheinlich habe ich noch nie gesehen, aber könnte ja sein, dass sie dann sagt, geil, cool. Deswegen ist es wichtig, diesen Schutzbedarf und die Schutzbedarfsklassen damit auch richtig von der Information einzuschätzen. Und meine Erfahrung ist einfach, also gibt es eben diese zwei Arten von Herangehensmaßen in Banken und dann gibt es halt einfach beide davon. Ja, und das ist aber ganz, ganz oft auch ein sehr großer Widerstand, weil entweder man ist ja wichtig, weil man sagt, ja, du bist gar nicht so wichtig. Ego ist ein bisschen angekratzt und auf der anderen Seite ist es halt so, ja, aber du bist schon wichtig. Ja, ich habe keinen Bock, was zu machen, dann kriege ich mir meistens irgendwie so ein paar Dokumente hingelegt, sagen wir hingelegt. Maßnahmen, lass ich mal hier so ein paar Pümptchen, weil, da kommen wir jetzt draußen, das wird wirklich spannend, weil Maßnahmen, was kann man eigentlich jetzt tun, wenn ich Information habe und die möchte ich schützen, was mache ich denn damit? Identity und Access Management, ja, und da hätte ich tatsächlich irgendwie so eine englische Präsentation fast drauchs machen können bei der Folie. Also Identity und Access Management, wer darf hier eigentlich rein? Ja, oder wer darf überhaupt in die Bank rein? Darf da jeder rein? Könntet ihr mal ausprobieren, nehmt euch eine große Kiste, ja, die schwer aussieht und versucht mal durch einen Lieferanteneingang reinzukommen, funktioniert, ja. Anderenfalls könnt ihr euch auch einen Anzug anziehen, funktioniert auch und versucht mal durch den Fahrereingang für die Dienstfahrzeuge der Vorstände reinzukommen, funktioniert auch. Besonders so Rolltore, die elektronisch sind, so flopp, also hat funktioniert, habe ich schon ausprobiert, macht Spaß oder so, oh, ich habe gerade irgendwie zwei Becher Kaffee, könnten sie mir mal die Dreh-Tür aufmachen, ja, geht auch. Also wer darf rein? Wer ist das eigentlich? Ja, interessanterweise, ich hatte tatsächlich mal einen Fall, ne Bank, nein, es gibt einen potenziellen Bank B, ne, und wenn man da sowieso reinzukommen, habe ich gehört, dass der einzige Fall, wo man aufgehalten wurde, tatsächlich der Feuerwehraufzug war, der illegale Weise von den Händlern benutzt wurde in dem Fall, die aber gefragt haben, was machen sie denn hier? Ja, weil die die anderen nicht, also die Personen dann nicht kannten, war auch lustig, was man sagen, was macht ihr eigentlich hier, weil ihr dürftet hier nicht sein? Hoch, ja, oder, also die Geschichte gehört habe so, eine Kollegin die machte tatsächlich auch Zutrittssicherheit, prüftet die, ja, irgendwas passierte, sie kommen morgens zur Arbeit, total entspannt, eigentlich lief alles relativ gut, sie hatte das gar nicht erwartet bei dieser Bank B und er erzählte mir dann so, sie fuhr dann einfach mal aus Versehen der Aufzug, sie kamen sich nicht erklären, fuhr in den Keller, wo die ganzen Pferfer stehen, sie hat da auf 2 gedrückt und er fuhr dann runter, auch nicht in die Minus 2, sondern war lustig. Genau, also identity access management, wer ist, wer darf eigentlich ran, wer ist derjenige, hat der vielleicht, was für Rechte hat der, ist der Admin, ist der so normale User, was kann alles kaputt machen, dann andersrum auch, zum Beispiel hat er vielleicht mehrere Accounts, dann sind so Sachen wie, er könnte etwas kaputt machen oder es sind Sachen, also hauptsächlich, wenn Protokolle verändert werden, ja, wo man dann sieht, was ist passiert, ja, was sind irgendwelche Daten verändert worden und so was, das wird ja alles mitprotokolliert, ist eine Anforderung, ja, und wenn man diese Protokolle verändern kann, löschen kann, sowas, ja, dann ist es immer so ein HPU heißt es ein High Privileged User, ja, und die sind immer ganz gefährlich, man muss immer drauf gucken, und da gibt es extra Verfahren für, so wie in, es gibt einen Notfall, ja, egal welcher Art, und dann geht man hin und sagt, hey, ich brauche jetzt den User, ja, und dann geht man also praktisch definierter Person, geht dann zu definierter anderer Person, sagt, jetzt ist es soweit, dann geht es jetzt zusammen zum Tresor, der einen hat den einen Teil des Kurzes, der andere, und dann guckt die zusammen, so, ah, da ist das Login für den HPU, und dann können wir vielleicht irgendwas machen, ja, nein, weil Aufzug, ich mag Aufzugssituation offensichtlich, ja, und hört man so in einem, so Kaffee trinken, ein Ohr, und dann, ja, ich habe den Zugriff, ich habe normalerweise einen normalen verwaltenden Zugriff auf System X, darf ich jetzt nicht mehr, weil irgendwie komische neue Regel, jedes Mal, wenn ich was ändere, nehme ich dann den Sonderuse, also den Admin-Account für den Super-User, den beantrage ich alt, jeden Tag ein Notfall, ja, und dann habe ich halt den Account, ja, dann mache ich meine Sachen, dann sage ich wieder, ein Notfall vorbei, ja, morgen ist gleiches Spiel wieder, fand ich super, im Aufzug, ja, also passt auf, was ihr im Aufzug alles hört, ist fast so wie Bahnfahrt, funktioniert auch super, er ist der Klasse, kriegt man alles mit, ja, was ich schon an Pitches gemacht haben könnte, Sicherheitskonzept ist auch ein Lieblingsthema von mir, ja, wir haben eine Anwendung, und wir haben Anforderungen an die Anwendung, dann schreibt man mal runter, wie diese Anforderungen angehalten werden, tolle Idee, ne, Dokumentation, übrigens, tatsächlich, Dokumentation habe ich gerade auch noch mal kurz diskutiert, wenn ihr in so einer Situation seid, Dokumentation ist das beste, was ihr haben könnt, ja, und wenn eure Dokumentation, eure Anweisung und so weiter schlecht ist, ja, dann ist es schlecht, ist auch doof, ja, aber wenn sie nachvollziehbar ist und sie ist zumindest mal da und nicht vor fünf Jahren, ja, dann habt ihr schon mal zumindest mal, seid ihr zumindest nicht gleich mal irgendwie so durchgefahren, nicht ganz zumindest, ja, Sicherheitskonzept, da werde ich nachher noch was zu sagen, ist ein ganz spannendes Thema, Business continuity, standort fällt aus, ja, wir können alle nicht mehr arbeiten, dummerweise muss was an der Bank trotzdem, ja, da hat man dann tatsächlich eben so was wie, hey, wir fahren alle in einem großen Bus zum anderen Standort oder wir arbeiten von zu Hause aus und so weiter, aber gibt es auch Notfallmaßnahmen für, ja, das macht man dann damit die Verfügbarkeit von Informationen gewährleistet ist, ja, Pausen, Klassenfahrt, ja, richtig Bus, belegte Brötchen gibt's tatsächlich, ja, wenn man diese Dinger testet, diese Notfallstandorte, ja, dann werden tatsächlich User ausgesucht, ja, dann jeder so von verschiedenen Standorten und so, ja, da werden die alle im Bus gesetzt, ja, da hingefahren, dann guckt mal, wie lang braucht der Bus und dann gibt's da belegte Brötchen und Kaffee, ja, und dann testet man so, fährt man Rechner hoch, ja, blinkt alles, funktioniert die Leitung, ja, Kaffeefahrt, macht Spaß, hab ich gehört. Und auch so ein bisschen Providermanagement, hey, so eine Bank macht so Sachen nicht alleine, die hat Provider, ja, die sagt dann, hey, ich hab hier die Provider P, ja, und der Provider P, der macht für mich ABCD, ja, also weiß ich, die großen kennt man vielleicht, FIT, default next off, irgendwie sowas, ja, kennt man immer mal wieder, und die machen halt Sachen für die Bank, ja, und dann muss man natürlich regeln, die hat's anderen Provider, was machen die eigentlich für uns, ja, haben sie das gesichert, wissen sie, was sie da tun, ja, geben sie uns Berichte, das ist toll, Berichte, Berichte sind gut, ja, dann weiß man, was passiert da eigentlich, ja, möglichst bunt, bunt Berichte sind immer gut. Also, es gibt jetzt noch viele verschiedene Maßnahmen, die man tun kann, und die kommen daher, ja, Standards, und ich bin mir sicher, ihr habt sie schon irgendwo gehört, gelesen, ja, und ganz, ganz, ganz weit weggeschoben, ja, ISO 27001, BSE Grundschutz, das sind Standards, sie sind auch relativ umfangreich, ja, und die tauchen auch immer wieder auf. Also, hey, wenn jemand eine Standard- Auslegungsdiskussion mit mir starten möchte, ich bin heute noch da, morgen auch, wir haben also noch genug Zeit, wahrscheinlich brauchen wir ein Tag mehr, aber kann man ganz super machen. Bei einer Bank ist auch immer so ein bisschen KWG, WG, MRisk, und ich hab das mit Absicht da drauf getan, weil da sind auch so ein paar Sachen drin wie, hey, wir haben Funktionstrennung, ja, das ist der Punkt Benutzerberechtigung, wer darf eigentlich was sehen? Darf die Marktfolge auch das, was der Handel da oder der Markt tut, darf der Rechnungs, also die Rechnungsabteilung, darf die das eigentlich? Und wenn der Benutzerberechtigungsadmin, auch gleich der Admin von dem Fachsystem ist, ja, was könnte denn da eigentlich anstellen? Also, sind so ein paar Sachen drin, die man dann einfach im Bereich Benutzerberechnung zum Beispiel beachtet, ja, wirklich interessant ist dann aber auch tatsächlich die BIT oder BITE, und ja, das ist dann so der Punkt, wo man sagt, hey, das ist die Anwendung von diesem ganzen Papierkram, ja, also wenn ihr euch auf eine Diskussion einlasst, fangt am besten damit an, das sind irgendwie nur so zehn Seiten, die sind aufgeteilt, ja, so in Kapitel mit Überschriften, das kriegt man hin, ja, und in Zweifelsprall, jeden Berater kann man fragen, so, können Sie mir sagen, wo das steht? Funktioniert immer, ja, weil die meisten haben dann doch so ein bisschen den Ego und sagen so, ja, ich kann dir ganz genau sagen, wo das steht, ja, und dann kann man die Diskussion anfangen, und das ist dann die Auslegungsfrage, so, aber, dem ich jetzt hier auch schon Schilder gezeigt bekomme, wir haben noch Zeit, die Standards sind dann gar nicht mal so, weil viel interessant ist, ja, was passiert danach mit Risikobedrohung, geil, ja, Risikomanagement, weil jetzt haben wir irgendwie so Informationen, ja, wissen schützungswürdig, nicht so schützungsbedürftig, ja, wir machen Maßnahmen, aber irgendwie können wir uns halt auch nicht gegen alles schützen, vielleicht haben wir Risiko übrig, das ist Risiko, was ist bedrohung, was ist gefährlich, ich finde ich super, ja, Bedrohung, also da könnte ein Schaden entstehen durch irgendetwas, super, ja, richtig interessant ist es dann, wenn wir sagen, eine Gefährdung, also da gibt es eine Schwachstelle dazu, ja, und das Lustig ist, jetzt überleg mal, ja, jetzt ist eine Bank da und sagt, ich bin voll wichtig, meine Informationen sind voll wichtig, und alle sagen, ja, aber die Informationen, die interessieren mich doch gar nicht, was willst du denn eigentlich, ja, weil, ja, weil du bist halt nicht die deutsche Bank, sondern irgendwie was anderes, ja, ganz einfach gesagt Risiko, das ist das wirklich wichtig hier, ist die Antrittsverscheinigkeit mal der Schaden, es wird ganz einfach gesagt, das machen wir damit, identifizieren, wir finden raus, wir haben ein Risiko, geil, unser Alkohol könnte geklaut werden, gibt auch noch andere Methoden, die kein Alkohol involvieren, Gefährdungsanalyse und so, dann bewerten wir das Ganze, das ist dieses Antrittsverscheinigkeit, Schadenshöhe, dann gucken wir mal, was machen wir damit, toll, was machen wir jetzt, mein Lieblingsteil, dann berichten wir das Ganze, das ist auch ziemlich lustig und überwachen, da wird es bunt, ja, das wird dann tatsächlich ein bisschen bunter, und dann fangen wir wieder von vorne an, ja, weil, dann gucken wir, was haben wir eigentlich berichtet, was haben wir eigentlich, haben wir irgendwo was vergessen, und ganz ehrlich, da wird viel vergessen, da wird verloren, ja, so, oh hoch, wir haben da ein Risiko, ey, super, ich habe da ein Risiko, zeig mir das mal, es ist verschwunden, Außensystemen verschwunden, ja, wir hatten ein Risiko für einen Vertrag von der Bank, Bank B, ja, verschwunden, denn keine Ahnung, was hin ist, bis heute nicht aufgetaucht, wir haben Neues eingestellt, okay, ich habe nicht so viel Zeit, deswegen quantifiziert und qualifiziert, ist so ein bisschen zählenmessenwiegen, ja, sage ich jetzt, so viel Schaden könnte entstehen, einfach nur, ja, oder wie oft tritt es jetzt wahrscheinlich auf, würde ich den ganz Vertrag strafen, würde ich den ganz kosten für, für Maßnahmen, ja, die ganze Brötchen für die Fahrt, wenn die da in das, in das extra Rechenzernover, und dann eben sowas wie, oh, die mögen uns nicht mehr, ich meine, ist ziemlich unwahrscheinlich, weil wir haben mal eine Bank vorher, immer nachher, aber füff, und deswegen kommt das toll, oh Gott, das hätten sie auch sagen können, sie haben mir gesagt, kein Weiß, ja, aber das Rot aufzugresslich aussieht, scheiße, also, ist aber tatsächlich so, weil Wahrscheinlichkeit, jetzt rede ich schnell, damit es schnell vorbei ist, Auswirkung, Schaden, also, wie wahrscheinlich ist das, irgendwas passiert, ja, dann überlege ich mir, wo stecke ich da drin, und dann überlege ich mir, wie wahrscheinlich, also, was, was könnte denn passieren, ja, und je nachdem, welche Farbe ich habe, mache ich dann was anderes, also, ja, Grün ist vielleicht nicht so schlimm, ja, Gelb ist schon doof, dann sollte vielleicht auch der Vorstand irgendwann bei Orange Bescheid wissen, und bei Rot, oh, oh, da muss man was tun, ja, wie gesagt, ich habe auch schon zum Beispiel gehört, nee, wir machen einfach nichts, weil wir haben kein Geld für, ja, können da machen, ist dann halt kacke, genau, dann bedenken wir meistens sowas wie, hey, die Aufsicht findet das scheiße, wenn wir das nicht machen, oder die Leute mögen uns nicht mehr, auch ein Argument, gerade wenn Kunden da für verfliehen werden, oder dir Verluster schreiben, wir wissen nicht, was wir tun, als ob er das sonst wüsste, aber hey, okay, wir wissen nicht, was wir tun, unum, dann kommt die Risikobehandlung, ja, sie haben festgestellt, was haben wir für ein Risiko, Grün, Gelb, ne, ein bisschen Orange, das ist das, was Augenkrebs vorsagt, das ist neben dem Roten das auch Augenkrebs vorsagt, ich finde den Großartys, ne, per Anhalt durch die Galaxies, anyone? Ja, gut, und wenn ihr das gelesen habt und im Film gesehen habt, wisst ihr, dass das ein ganz ganz gutes Kerlchen ist, ja, immer Bürokratie, immer Gregel, ist mir ein bisschen langsam ein bisschen stur, und ich hab das Gefühl, ja, so werd ich gesehen von so ner Bank B und meine Kolleginnen und Kollegen manchmal auch, weil gerade wenn es um Risikobehandlung geht, ja, so, nee, das müsst ihr da jetzt aber reinschreiben, ihr müsst das dokumentieren und so, dass es auch Leute verstehen, ja, ich hab manchmal echt so Erklärung, wo drin steht, ja, aber wir machen ein Patch aufs, oder wir machen was im Extra Fliratry und ich sehe aber, was hat das denn jetzt damit zu tun? Können die mir auch nicht erklären, aber sie haben dann was gemacht und deswegen, was kann man machen? Kannst das Risiko vermeiden, geile Idee, ne? Wir haben Risiko aus Bankinformation, wir lassen es einfach, ja, deswegen ist so Risiko minimierung ein bisschen schwierig, weil Risiko Minimierung heißt, ich mach das Risiko irgendwie weg und dann mach ich ja vielleicht auch kein Geschäft mehr, weil dann hab ich ja die Sache, die das Risiko auslöst, mache ich nicht mehr, ja, wär blöd bei ner Bank, na ja gut, vielleicht manchmal auch nicht, aber Risiko vermeiden, wir können's verbringen, wir machen Maßnahmen, toll, ne? Wir machen irgendwas, das Risiko geringe wird, das ist auch noch gut, das ist meistens ziemlich vernünftig, wenn ihr Sachen macht, die dann auch da drauf einwirken, ja, also wenn ihr die Glasflasche dann irgendwie Pink macht, weil ihr denkt Boah, Pink mag keiner, von dem Gin und dann so Boah, geiler Gin, Pink, ja, ist ja egal auch, ist hauptsache so Gin drin, ja, dann ist halt die Maßnahmen wirklich geeignet, Leute abzuschrecken. Ihr könnt es abgeben, das ist das Thema Versicherung, das kommt gerade bei Risiken im IT-Bereich ja relativ neu jetzt auch auf, ich könnte also schauen, hey, ich hab Risiko vielleicht nippen für sichere, könnt ihr auch machen? Versucht's mal und dann akzeptieren, ja, und das ist das Ziel schon, ich hab's leider nicht geschafft, ich hätte so gern einzig, muss es mir unbedingt drucken lassen, ja, und das ist dann der Punkt, wo er heißt, ja, okay, wir nehmen das Risiko, toll, machen wir, aber dann brauch ich halt eine Risikoakzeptanz, eine Risikoübernahme, dann gibt's ein Zettel, da steht drauf, hey, das ist das Risiko, du weißt, was passieren könnte, aber du sagst halt, jo, nehm ich, mach ich nix, mir egal, super, funktioniert, ja, das Ding ist, die meisten hat nicht verstehen, dass sie das Risiko trotzdem haben, ja, und dass trotzdem was passieren könnte, und das ist das, ich hab kein Bild gefunden wahrscheinlich, weil jeder ein Handbuch vorauf hat, der Plapperkäfer von Traal, ne, total dummes Tierchen, glaubt, wenn man es nicht sieht, ja, dann kann es einen auch nicht sehen, und das Gefühl hab ich manchmal, ja, das ist die Banken dann oder die Bank B, sagen wir das, ja, die stellt sich so hin und sagt, sehe ich nicht, sehe ich nicht, sehe ich nicht, und denkt so, hey, die Prüfer sehen's auch nicht, die Berater sehen's auch nicht, geil, funktioniert nicht, kann ich sagen, egal was für Flauschige Antücher ist, dann funktioniert nicht, und was kommt dann nach, jetzt haben wir, jetzt wissen wir mal, oh, meine Informationen sind schützenswert, was mache ich damit, wir wissen, jetzt bleibt irgendwie Risiko übrig, wie behandle ich das, und was kommt dann? Adressatengerechtes Reporting, Reporting heißt auch, es ist meistens bunt, das ist ja was dann passiert, oh, wir haben nur ins Scan laufen lassen, yay, wir haben sie sicherheitsmaßnahmen implementiert, wir haben 11.000 neue Risiken identifiziert, man davon sind 9.900 Grün, geil, das schreiben wir gleich mal im Bericht am Vorstand, ja, der freut sich, wenn er ganz viele Zahlen liest, die einfach so rumfliegen, ja, dann weiß er, wie es in dem Moment war, dann weiß er es nicht, wie vorher war, also nur adressatengerechtes Reporting heißt, je nachdem wie schlimm es ist, umso schlimm es ist, wahrscheinlich müssen umso mehr Leute, die umso wichtiger sind, ja, Bescheid wissen, und dann sollten die auch wissen, was war denn vorher, wo kommt das her, was ist danach, ja, was machen wir dagegen, ja, wenn ihr den einfach nur 11.000 Risiken auf unsere Schlechter sagt, yo, geh noch mal, mach noch mal, ja, und dann bleibt es das Wochenende dafür da, ja, weil, was sagt mir das denn jetzt, abgesehen davon, dass du dann wahrscheinlich ein Problem hast mit der Einstellung von deinem System, dass das Ganze kennen, operationales Risiko, was machen wir mit den ganzen Risiken, was macht eine Bank mit den ganzen Risiken, ja, eine Bank hat ein Risiko, operationelles Risiko, das ist dann alles, alles, alles, was ein Risiko da irgendwie so rumfliegt, ja, und kann dann sagen, hey, wir machen Szenarien, was könnte mir der Bank passieren, und da sollten die Artilleristen eigentlich rein, ich sag eigentlich, weil, ja, sie sind veraltet, werden vergessen, sind nicht implementiert, ist eine, mit Lieblingswort, ja, Expertenchef, ja, die Gadaumen funktionieren auch, Teilen im Limitierungen, geil, ja, das ist so dieses, dieses Treibungen, da denkt, du hast irgendwo eine Schranke gebaut, links und rechts, ja, kommst du, kannst du einfach vorbeifahren, ja, wir haben Sicherheitskonzepte geschrieben, zum Beispiel, ja, und jetzt sagen wir, ein Sicherheitskonzept für die Anwendung, ah, das brauche ich nicht, machen in der Anwendung, ja, weil macht ja auch das Technologiepaket der Server oder so drunter, und in dem Technologiepaket oder dem Server, ja, dann fragt sie dir die Frage, und dann heißt es ja aber, der Server, das ist ja keine Anwendung, da muss die Frage doch gar nicht beantworten, dann fragst du dir so, ja, oder man kennt nur irgendwie die Anwendung, also ganz, so, Unterschied, Unterschied, Anwendung, und vielleicht die drunter liegende Technik, auch manchmal schwierig, weil dann sagt man nur, hey, mach das für Anwendung, und dann vergessen die, was alles drunter liegt, was noch alles dran hängt, ganz oft erstellt von Dokumenten, Sicherheitskonzepte, ja, steht nur, dass wir sie erstellen müssen, ja, das heißt aber nicht, dass wir damit arbeiten, oder, doch, ja, tatsächlich, ja, das heißt tatsächlich, dass sie so schreiben müsst, dass da auch Sinn drin steht, dass man die verstehen kann, dass da drin steht, wir halten die Anforderung ein, und zwar so und so, oder wir halten sie nicht ein, wir haben da das Risiko, passiert auch, ja, das heißt wir müssen 500 Stück von den Dingern erstellen, machen wir, ja, 500 mal irgendwie die gleiche Ekti-Datei nur den Namen geändert, ha, das helpt mich auch, heißt ja nur erstellen, ja, Zeitplan wird nicht, oh, das ist auch toll, Zeitplan, ja, Zeitplan, ich bin auch gut im Zeitplan offensichtlich, es heißt, hey, liefert uns das mal ein, das muss aktualisiert werden, also liefert uns die aktualisierte Version, okay, mach mal, ne so, drei Monate, bevor es irgendwie passieren sollte, und bevor das Ganze zugemacht wird, drei Monate später so, hey, immer noch nichts, ja, wir kratzen schon so an den Türen, wieso, wo ist es? Und so eine Woche, bevor dann der Kartoff ist, ja, da habt ihr was, ja, die sind immer noch veraltet, ja, der Schaden, ne, Ausfall IT-Schaden bei Bank B, die IT fällt aus an dem Standort, die Software fällt aus, 130 Euro Ausfall, Schaden, der entsteht, ich habe mich gefragt, was sind das für Brötchen, was servieren die, ja, was, was passiert da, dass sie 130 Euro Schaden haben, immer der fällt die ganze IT in einem Standort aus, ja, das, das ist dann so der Zeitplan, haben gesagt, nee, aber wir haben jetzt in der Woche vor Weihnachten keine Zeit mehr da jetzt noch was zu aktualisieren, ihr wisst das seit ein paar Monaten, ja, jetzt haben wir keine Zeit mehr, ich gehe da mal und in die Ferien, ja, nicht durch die Tür gekommen, passiert auch, ja, also das sind so ganz, ganz viele kleine Sachen und es macht manchmal echt ein Heidenspaß, so die kleinen Fehler dann doch zu finden, weil sie denken, das ist ein bisschen Katzenmaus, ne, die denkt da immer so, sie können uns irgendwie austricksen und irgendwie kriegen wir sie trotzdem, weil es einfach auch ganz viel logisch ist und ja, ich komme zum Ende, sonst erkläre ich euch noch, zick Beispiele, ja, was irgendwie so passieren könnte alles und es ist alles ganz schrecklich, aber damit dann auch die Karten hier gleich ganz wild nicht mehr hochgehalten werden, wer ich jetzt durchfragen, also das macht mal, macht mal her halt. Genau, erst einmal einen herzlichen Applaus. Vielen Dank für diesen spannenden Vortrag, wir haben jetzt noch ein wenig Zeit für Fragen und ich sehe dort schon einen ersten Fragesteller an. Ja, erst mal herzlichen Dank für diesen wichtigen Talk, auch wenn du immer auf den Brötchen rumgereitet bist, also die Praxis hat bei mir auch gezeigt, dass es manchmal voll gut ist, wenn wenigstens ein paar Brötchen und man einmal dieses Desaster Recovery Plan durchgespielt hat, weil es ja auch bestimmt genug Firmen gibt, die mal was auf dem Papier geschrieben haben, was dann eben leider nie getestet wurde. Darum gibt es dort auch Geschichten aus der Erfahrung, wo du sagst, hätte man mal ein Brötchen bestellt, nur zur Ehrenrettung aller Brötchen, dieser Konferenzrollen hier in unserer Szene? Ja, tatsächlich. Also es gibt recht häufig tatsächlich so, hey, hättet euch nicht, ja, Brötchen, also hättet euch nicht früher drum kümmern können und denkt dir mal nicht weiter, also das ist so ein bisschen dieses Sinnbild dafür, weil ganz, ganz viele Banken einfach sagen so, oh, da haben wir so nie Durbedanken gemacht, ja, und dann machen sie es auf den letzten Drücker und dann kann man weder Brötchen oder sonst irgendwas tun, also ja, ich saß auch schon um 23.30 da und wollte was abmelden und dachte mir so, jetzt hätt ich echt gern so eine Pizzerwerfer vor allem manchmal auch toll, ne, nicht ein Brötchen, aber ja, tatsächlich, vergessen sie auch manchmal, aber hey, es ist nicht überlebensnotwendig, Hauptsache man hat Kaffee. Hauptsache man hat Kaffee. Eine Frage, gibt es eine Frage noch aus dem Internet? Das Netz würde sicher gerne weitere Details von deinen Kollegen erfahren, aber es ist noch zu verpennt und hat deswegen keine tollen Fragen. Alles klar, dann geht es hier weiter mit einer Frage aus dem Saal. Ja, und zwar die Frage nach dem finanziellen Risiko, die beispielhaft genannten 130 Euro, knapp vor knapp 20 Jahren gab es große Angriffe auf eBay, Amazon und andere, Bill Clinton war noch Präsident, es gab eine Katastrophensitzung im Weißen Haus und die Unternehmen hatten eben auch argumentiert, dass sie wahnsinnig hohe Umsatzausfälle hatten, die haben da erst als Verlust praktisch gemeldet aufgrund der dienal-of-service Angriffe und andere meinten auch, Moment, Amazon macht aktuell mit jedem Dollar Umsatz, ich glaube, zwei Cent Verlust, das heißt, wenn die 24 Stunden keine Verluste machen, haben die so viel gespart. Die Argumentation ist nicht von mir, deshalb die gesamte Frage nach einer finanziellen Schadenshöhe ist extrem abhängig vom Standpunkt und die kann eben komplett voneinander abweichen und was von der Lösung mag es da geben? Dokumentation, ja, weil das Ding ist ja, man kann ja sagen, ich habe nur 130 Euro Schaden, weil ich habe, in dem Fall ist es, wenn man sich jetzt überlegt, so ein ganzer Standort fällt aus, ja, die Leute müssen entweder wo anders hin oder man kann das Geschäft nicht machen, ja, klar, da kann ich sagen, man weiß ja nicht, was kommt an dem Tag für ein Geschäft, ja, also wie viel Schaden habe ich da, aber das Ding ist ja, dass bei solchen Sachen auch immer die Dokumentation wichtig ist, tatsächlich, also ist es nachvollziehbar, wenn die jetzt geschrieben hätten, hey, wir haben nur 130 Euro Schaden, weil die Leute kommen schon zu Hause ausarbeiten, wir fahren die ja auch nicht irgendwo hin oder wir haben sonst irgendwie was, dann wäre das eine ganz andere Sache, aber das schien mit der Dokumentation und der Begründung, die dazu kamen, einfach so völlig unrealistisch, ja, und wenn dann halt irgendwie ein System ausfällt, dass tatsächlich Gewinne einfährt, wo ist dann die Argumentation zu sagen, hey, ich habe nur 130 Euro zum Beispiel, ja. Weiter mit der nächsten Frage, hier am Mikro. Was möchtest du denn dann gerne bei Bank C im nächsten Projekt sehen, wie Bank C denn agieren sollte, gerade im Hinblick auf die Ressourcen, die es so gibt im Markt, um IT-Sicherheit besser zu machen und den gestiegenen Anforderungen, die die Bank bei gleichem Personal oder fast gleichem Personal zurzeit abdecken wollen? Ja, also ich glaube, bei Bank ist im Moment ein ganz, ganz großes Problem da, ich sag mal so, den Datenhaushalt überhaupt gerade zu ziehen, ja, also da sind ganz viele Insellösungen und wenn es tatsächlich die Möglichkeit gibt, irgendwo her, also eine Idealbild, diesen ganzen Datenhaushalt tatsächlich und diese ganzen Anwendungen und alles, was irgendwie so passiert, auf eine Basis zu kriegen, das wäre so richtig toll. Darf ich noch eine Anschlussfrage stellen dazu? Ausnahmsweise. Merci, aber siehst du das Problem nicht eigentlich noch auch woanders, nämlich das ist ja nicht nur ein Problem des IT-Sicherheitsmanagements in der Bank, sondern der generellen Ressourcenallokation. Banken haben so ein bisschen Schweinezyklus, ja, gerade auch mit Ressourcen zum einen, mit Regularien und zwar das geht immer so ganz viel hoch, ja, und dann merkt man so, oh, jetzt muss wir sparen, dann geht es wieder runter und geht es wieder hoch, geht es wieder runter, ja, und man hat auch, auch, dann eben die Regelungen, die da rein müssen, also es ist nicht nur IT-Sicherheit tatsächlich, ja, also gerade Daten ist ja nicht nur IT-Sicherheit, sondern auch noch mehr, aber irgendwo muss ich halt anfangen, ja, und dann ist IT-Sicherheit, glaube ich, ein Punkt, wo man anfangen kann. Alle Fragen, alle Klarheiten beseitigt, offensichtlich. Ja, liebe Julia, vielen herzlichen Dank für diesen ganz tollen Vortrag. Ich werde jetzt für immer Assoziation mit Wings haben, wenn ich an die Informationssicherheit denke, und das ist großartig. Einen herzlichen Applaus nochmal.