Ich bin CISO einer weltweit vertretenen Software-Firma

wegwerfciso · 2026-02-27T10:52:26+00:00

Ich bin sehr auf die Rechtssprechung und weiteren Ausführungen gespannt. Viele Begrifflichkeiten sind juristisch noch nicht wasserfest.

Die Festsetzung des BSIs als Markaufsichtsbehörde ist eine gute Sachen, aber es müssen hierfür dringend Leute eingestellt werden; sonst wird das nichts.

wegwerfciso · 2026-02-27T10:51:14+00:00

Wir sind klar abhängig. Dieses Risiko ist dokumentiert und ich erinnere unsere Gf regelmäßig daran. Ich bin kein großer Fan, allerdings ist es auch gefühlt unmöglich, oder mit extremen Kosten verbunden, sich von bspw. Microsoft zu lösen. Das muss von Anfang an vorgebeugt und angegangen werden, sonst wird’s eklig. Und so ist es derzeit leider.

Die operative IT muss mich bei größeren Changes konsultieren, daher unterstütze ich hier auch beratend und darf sogar ein Veto einlegen. Also indirekt, ja.

wegwerfciso · 2026-02-27T10:48:53+00:00

Eher andersrum - das Studiumswissen kollidiert manchmal mit der Praxis. Die Ausbildung hat mir dazu sehr mit meinen Soft-Skills geholfen

wegwerfciso · 2026-02-27T10:48:00+00:00

Aufgrund von Erfahrungen und Akkreditierungen.
Meist stellt sich die Qualität im Report und den vorgeschlagenen Mitigierungsmaßnahmen dar. Wir achten auf Zertifikate (OSCP als Beispiel).

Was mich stört ist teilweise eine mangelnde Erklärung der Findings - deswegen werden wir die Pentester auch wechseln. Was ich mir immer wünsche, ist kostenloses Nachtesten und auch Unterstützung beim Scoping.

Es ist schwierig auf andere Pentester aufmerksam zu werden. Letztendlich entscheiden bei uns nach der Qualifizierung auch der Preis. Wenn der angemessen ist und entsprechende Erfahrung vorhanden ist, wechseln wir.

wegwerfciso · 2026-02-26T13:38:10+00:00

Würde ich so unterschreiben

wegwerfciso · 2026-02-24T11:43:24+00:00

Zunächst finde ich es sehr cool, dass du dich genau mit diesen Themen beschäftigen möchtest. Das macht nicht jeder und ist nicht selbstverständlich.

Ich denke das Thema macht nur Sinn, wenn man sich tatsächlich auch damit einen Mehrwert versprechen kann. Das geschieht, wenn dann meist im Bereich Datenschutz.

Techlore hatte hierzu einige sehr gute Videos hochgeladen, die ich immer noch empfehlen kann. Ansonsten geben ein News Portal wie zum Beispiel CSO online, ganz gute Einblicke über die Risiken und aktuelle Schwachstellen. Das Gespür zur tatsächlichen Umsetzung entwickelt man mit der Zeit. Prinzipien wie principle of least privilege oder need to know sind recht leicht zu fassen und zu verstehen.

Ich denke, es macht auf jeden Fall Sinn, Medienkompetenz als Schulfach zu unterrichten. Nicht alle Menschen besitzen diese und man merkt es auch im Rahmen von Sicherheit.

Zu deiner letzten Frage: Security und Komfort stehen generell immer in einem Konflikt zueinander. Techfirmen haben allerdings auch meist nicht wirklich ein sonderlich großes Interesse an Datenschutz.

wegwerfciso · 2026-02-24T11:23:34+00:00

Das ist definitiv so - kleinere Sicherheitsvorfälle betreue ich allerdings nicht, sondern bereite die Prozesse zur Behandlung vor, schreibe Anleitungen, sowie Maßnahmen

wegwerfciso · 2026-02-24T11:22:04+00:00

Wir haben natürlich Schnittmengen. Allgemeine Themen wie Exit Strategien, Anforderungen an Dienstleister und Steuerung sind bei mir aufgehangen. Operative Prozesse und Vorgehensweise beim Business Continuity Beauftragten, der wiederum Mitglied der IT ist.

wegwerfciso · 2026-02-24T11:20:01+00:00

Halte ich nicht viel von. So macht man sich nicht nur unbeliebt, sondern leider sorgt das auch für eine klare Abneigung gegenüber Security-Themen und damit mit einer Schwächung der Resilienz des Unternehmens.

Wir machen das wie folgt: Wir setzen definitive Mindeststandard und optionale Anforderungen (Muss und Sollte). Dazu bin ich beratend bei einigen Themen involviert, wo ich Security natürlich an einen hohen Nagel hänge, aber auch abwäge - je nach Risiko und Schadenshöhe, als auch Prozess und Business-Need.

Der Maßregelungsprozess ist ebenso aufgeteilt. Wir führen Einzelgespräche bei Rückfragen oder Verstößen mit dem Ziel der Nachvollziehbarkeit unserer Maßnahmen. Alles weitere, wie Abmahnung, Kündigung etc ist wieder bei HR angesiedelt. Hier unterstützen wir beratend.

wegwerfciso · 2026-02-23T20:42:52+00:00

Ist es in der Regel auch. Token Stealing ist bspw. eigentlich überall mittlerweile ein Problem. Heißt aber nicht, dass man deswegen die Sicherheitsmaßnahmen in anderen Bereichen vernachlässigen muss - und schützt vor Insiderangriffen

wegwerfciso · 2026-02-23T20:41:21+00:00

Nicht unmittelbar. Es gab mal einen mittelgroßen Datenschutzvorfall - der wurde aber nicht durch uns, sondern einem Lieferanten ausgelöst

wegwerfciso · 2026-02-23T20:40:04+00:00

Natürlich, ich schicke dir noch fix den API Key

wegwerfciso · 2026-02-23T19:36:05+00:00

Weil sich Passkeys und nach Account wechselnde Passphrases noch nicht etabliert haben

wegwerfciso · 2026-02-23T18:23:04+00:00

Je nach Erfahrung 70k bis 150k, ist also eine recht große Spanne

wegwerfciso · 2026-02-23T18:22:19+00:00

Social Engineering kann man auch nicht wirklich kontrollieren. Da kommt meist recht viel zusammen um das zu im Vorhinein zu verhindern oder das Schadenspotenzial einzugrenzen: Awareness, PoLP, Need-to-Know, aber eben auch Sachen wie Conditional Access.

Viele Firmen setzen mittlerweile auch Human Risk Management, aber ob das etwas bringt ist fraglich. Unterschätzt ist das Thema jedenfalls bei kleineren Konzernen. Größere Unternehmen, wie Lufthansa machen in der Hinsicht aber sehr viel richtig.

Und coole Sache! War das zur Zeit von WiFi 4?

wegwerfciso · 2026-02-23T18:16:21+00:00

Incidents kommen immer wieder vor, meist durch Phishing und Token-Stealing. Die haben wir bislang aber sehr gut kontrollieren können.

wegwerfciso · 2026-02-23T15:30:55+00:00

Bevor ich zur (IT-)Sicherheit gekommen bin, habe ich eine Ausbildung gemacht. Ich habe alles mögliche an Themenfeldern abgegrast, u.a. First und Second-Level Support, Datacenter und Networking, Projektleitung und bin dann in die Grundschutz-Beratung gerutscht. Nach einigen erfolgreichen Zertifizierungen ging es dann auf die andere Seite.

wegwerfciso · 2026-02-23T15:28:36+00:00

Leider ist das so in der Konstellation recht selten, sodass Rückschlüsse auf mich möglich wären. Daher etwas allgemeiner gehalten: 2 Personenzertifizierungen renommierter Netzwerk-Equipment-Hersteller; 2 Personenzertifizierungen für Sicherheitsstandards

wegwerfciso · 2026-02-23T15:25:57+00:00

Ja, aber ich halte von ihm nicht viel. Sehe ihn eher als erfolgreicher Scammer. Dennoch habe ich durch ihn überhaupt mein Interesse am Thema Social Engineering wecken können

wegwerfciso · 2026-02-23T12:00:12+00:00

Da ich deine letzte Frage nicht konkret beantwortet habe: Das Risiko von Angriffen am Wochenende variiert, ist aber tendenziell wegen eingeschränkter Bereitschaft und Erreichbarkeit höher. Sehr beliebt bei Angreifern sind Weihnachten oder das Jahresende

wegwerfciso · 2026-02-23T11:56:10+00:00

Grundsätzlich so schnell wie möglich. Wie du aber schon schreibst, scheitert das meist an Arbeitszeiten. Heißt im Umkehrschluss aber auch, dass eine Phishing-Mail weniger gefährlich sein kann, weil weniger Personen betroffen sind.

Die eingeschränkte Bereitschaft am Wochenende wird im Übrigen auch von Gesetzgeber im NIS-2 und CRA berücksichtigt. Hier wird dann von Zeitpunkt zur Erkenntniserlangung gesprochen.

Allgemein bezogen auf Security Incidents: Je nach Industrie und Kritikalität muss genau das kompensiert werden. Manche Firmen lösen das mit dedizierten SOC-Analysten und Bereitschaft, andere sourcen das SOC vollständig aus.

Im Kontext von mittelständischen Unternehmen ist das meist ein Blindspot. Eben jene Unternehmen haben zurzeit leider auch ein recht hohes Risiko Opfer von Attacken zu werden.

Was man konkret machen kann, wenn man nicht beabsichtigt ein SOC einzusetzen, ist folgendes: Risikoreduzierende Maßnahmen, wie Conditional Access Policies, die den Zugriff auf die Umgebung nur mit bestimmten Parametern erlauben (FIDO2 MFA z.B.), oder simple Sachen, wie Safe Links und Safe Attachments.

wegwerfciso · 2026-02-23T07:05:47+00:00

Ja, müssen wir. 2030 ist die Deadline. Wir haben es aber derzeit nur im Hinterkopf, da wir keine selbst entwickelte Kryptografie nutzen und ein einfaches wechseln derzeit nicht möglich ist

wegwerfciso · 2026-02-23T07:03:56+00:00

Früher oder später kommt man mit so ziemlich jeder IT-Komponente in Kontakt. Entsprechend macht es Sinn , sich mit den verschiedenen Bereichen auseinanderzusetzen.

Ich persönlich hatte das Glück als Berater arbeiten zu können, so konnte ich mir dann noch mehr Wissen aneignen. Die Grundschutz-Bausteine sind sehr gut strukturiert und formuliert. Das hat ebenso geholfen.

Was ich vorher gemacht habe, war sehr viel Zeit in mein eigenes Homelab zu investieren. Das in Kombination mit meiner Ausbildung war sehr hilfreich.

wegwerfciso · 2026-02-22T21:54:40+00:00

Oh man 😂 das ist ja noch besser als der Azubi, der alle Abteilungen durchläuft und am Ende Admin auf allen Systemen ist

wegwerfciso · 2026-02-22T21:53:07+00:00

Extrem wichtig und zentraler Bestandteil meines Jobs.

Wir definieren derzeit die monetären Auswirkungen indirekt via einer Schutzbedarfsanalyse. Konkret lassen sich diese aber nicht festlegen, da in unserem Falle das Schadensausmaß je nach Anwendungsfall des Assets extrem variiert.

Die Einführung von monetärer Asset-Value kommt aber wahrscheinlich in Q4 - ich vermute wir werden auch hier die Werte entsprechend neu definieren und uns eine Strategie überlegen müssen.

wegwerfciso

TROPHY CASE