In dieser Folge von „Cyber Security ist Chefsache“ spricht Nico mit Ralf Kleinfeld, Division Manager Information Governance bei OTTO und Vorstandsmitglied der CISO Alliance, über das zentrals Thema Cybersecurity-Ausbildung in Deutschland.

Ralf erklärt, warum die klassischen Ausbildungswege heute oft zu unübersichtlich sind und kaum junge Talente frühzeitig für Security begeistern. Er beschreibt, wie vielfältig die heutigen Studien- und Ausbildungswege im IT-Bereich geworden sind und wie wichtig es ist, Cybersecurity als echten Berufsweg sichtbar zu machen – sowohl für Schulabgänger als auch für Quereinsteiger.

Ein zentraler Punkt ist, dass keine Ausbildung allein alle Kompetenzen vermitteln kann. Neben technischem Wissen gehören auch Kommunikation, Empathie und Resilienz zu den Fähigkeiten, die Sicherheitsexperten wirklich brauchen. Ralf betont, dass Unternehmen und Ausbilder mehr Praxis-Bezug schaffen sollten – etwa durch duale Ausbildungsplätze mit Cybersecurity-Stationen im Betrieb.

Im Gespräch geht es außerdem um:

• Die Notwendigkeit eines sichtbaren Ausbildungsberufs im Bereich Cybersecurity

• Herausforderungen beim Einführen neuer Ausbildungswege in Deutschland

• Die Bedeutung von Mentorship und Praxiswissen

• Wie junge Menschen motiviert werden können, früh in die Cyberwelt einzusteigen

• Unterschiede zwischen technischen und nicht-technischen Rollen in der Security

Ralf und Nico geben praktische Einblicke, wie Unternehmen und Ausbildungsinstitutionen gemeinsam Talente fördern können und warum Cybersecurity kein einmaliges Projekt, sondern ein kontinuierlicher Entwicklungsprozess ist.

👤 Mehr Informationen

Ralf Kleinfeld - LinkedIn Profil: https://www.linkedin.com/in/ralfkleinfeld/

____________________________________________

🎧 Reinschauen lohnt sich!

🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache

🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority

🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber

Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.

____________________________________________

Du findest mich auf folgenden Social Media Kanälen:

📸 Instagram: cybersec_ist_chefsache

🕺 TikTok: cybersec_ist_chefsache

🤝 LinkedIn:

In dieser Folge von Cybersecurity ist Chefsache spricht der Host mit Maximilian Moser, Consultant Industrial & Product Security beim VDMA über die Herausforderungen und Chancen des EU Cyber Resilience Act. Gemeinsam klären sie, was der Act für Hersteller von Produkten mit digitalen Elementen bedeutet, welche Pflichten auf Unternehmen zukommen und wie man ein sinnvolles Risikomanagement aufsetzt. vdma.org

Max erklärt, was unter einem „Produkt mit digitalen Elementen“ zu verstehen ist und warum es gerade im EU-Markt wichtig ist, Produktgrenzen klar zu ziehen und zu dokumentieren.

Er erläutert, wie Hersteller eine Software Bill of Materials (S-BOM) nutzen, um überhaupt ein Risk Assessment durchführen zu können und wie dies die Grundlage für Schutzmaßnahmen schafft.

Ein weiterer Schwerpunkt sind Schwachstellen- und Update-Management: Welche Meldefristen gelten bei aktiv ausgenutzten Schwachstellen und wie kann ein Hersteller Prozesse dafür einrichten?

Außerdem gehen sie auf Sonderfälle ein – von maßgeschneiderten („Tailor-Made“) Produkten über Ersatzteilregelungen bis zu kritischen Komponenten.

Abschließend diskutieren sie, wie Unternehmen die Konformitätsbewertung meistern, welche Fristen wichtig sind und welche Auswirkungen der Cyber Resilience Act auf Lieferketten und globale Anbieter hat. vdma.org

Ressourcen & Links:

• Cyber Resilience Act (EU-Regulation): Überblick und was Hersteller betrifft vdma.org

• VDMA Cybersecurity-Seite mit Leitfäden und Factsheets vdma.org

• Maximilian Moser LinkedIn: https://tinyurl.com/2nh3rc2f

____________________________________________

👤 Mehr Informationen

Name - LinkedIn Profil:

____________________________________________

🎧 Reinschauen lohnt sich!

🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache

🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority

🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber

Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.

____________________________________________

Du findest mich auf folgenden Social Media Kanälen:

📸 Instagram: cybersec_ist_chefsache

🕺 TikTok:

In dieser Folge spreche ich mit Sander Rotmensen, Head of Business Line Cybersecurity Software for OT bei Siemens. Gemeinsam beschäftigen wir uns mit einem Problem, das viel zu oft ignoriert wird: In der Industrie heißt es häufig „Never change a running system“ patchen wäre zu riskant für Produktion und Sicherheit.

Sander erklärt, warum genau dieses Mindset in der OT-Welt problematisch ist: Weil Transparenz über Assets, Firmwarestände und Häufigkeit von Updates fehlt, ist es oft unmöglich, Schwachstellen zuverlässig zu identifizieren und zu beheben.

Wir gehen dabei folgende Themen durch:

• Warum klassische IT-Methoden (automatisches Scannen, schnelle Patches) in Industriesteuerungen selten funktionieren
• Wie wichtig eine gründliche Inventarisierung aller OT-Komponenten ist aktiv und auch Geräte, die selten online sind
• Wie man Schwachstellen-Management in der OT pragmatisch angeht: mit Tools, passenden Prozessen oder mit spezialisierten Dienstleistern
• Warum nicht jedes System einfach gepatcht werden kann Zertifizierungen, Safety-Regeln und Produktionszwänge sind entscheidend
• Wie moderne Ansätze aussehen können: Asset-Mapping + Risiko-Analyse + gezielte Updates oder Kompensationsmaßnahmen (Segmentierung, Monitoring, passive Überwachung)
• Warum OT-Security ein kontinuierlicher Prozess sein muss nicht ein einmaliges Projekt

Am Ende geben wir einen pragmatischen Leitfaden: Transparenz schaffen, mit externen Integratoren oder Dienstleistern starten, Prozesse und Tooling etablieren und Sicherheit zur Chefsache machen.

____________________________________________

👤 Mehr Informationen

Name - LinkedIn Profil:

____________________________________________

🎧 Reinschauen lohnt sich!

🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache

🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority

🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber

Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.

____________________________________________

Du findest mich auf folgenden Social Media Kanälen:

📸 Instagram: cybersec_ist_chefsache

🕺 TikTok: cybersec_ist_chefsache

🤝 LinkedIn: nicowerner

📌...

In dieser Folge spricht Nico Freitag mit Dennis Buroh, Informationssicherheitsbeauftragter und CISO in der Minimax Viking Gruppe. Dennis verantwortet Informationssicherheit und Business Continuity Management für mehrere Gesellschaften weltweit und betreibt gleich fünf ISMS parallel von Entwicklung und Brandhäusern bis hin zu Produktion und Service im Feld.

Im Mittelpunkt steht die Beziehung zwischen Entwicklung und Security. Dennis erzählt offen, wie Security schnell als „Bremse“ wahrgenommen wird, wenn sie erst kurz vor Go Live in Projekte einsteigt etwa bei der Einführung von PAM oder Sicherheitsreviews in letzter Minute. Gleichzeitig zeigt er, wie frühe Einbindung in Architektur und Design, klare Leitplanken und eine ehrliche Fehlerkultur dafür sorgen können, dass Security Teil des Codes wird und nicht nur ein Häkchen im Audit.

Ein weiterer Schwerpunkt ist der Cyber Resilience Act mit Themen wie SBOM, Secure Development Lifecycle und mehrjähriger Updatepflicht. Dennis erklärt, was das konkret für Hersteller bedeutet vor allem in der OT, wo Anlagen jahrzehntelang laufen und warum SBOM und Sicherheitsanforderungen nur funktionieren, wenn Entwicklung, Security und Management gemeinsam daran arbeiten. Dazu kommen aktuelle Fragen rund um KI in der Entwicklung, Umgang mit Quellcode als „Kronjuwel“, Secrets, externe Dienstleister und Git Repositories.

Außerdem geht es um:

• wie du Security früh in den Entwicklungsprozess holst, statt am Ende alles zu stoppen

• was der Cyber Resilience Act für Hersteller und langfristige Patches praktisch bedeutet

• warum Bug Bounty kein Ersatz für Schulungen, Pentests und saubere Prozesse ist

• wie Security Champions, Leitplanken und Fehlerkultur das Verhältnis zu Entwicklern verändern

• welche Risiken KI Tools für Quellcode und Architekturwissen haben

• warum Security für große Unternehmen gesetzt ist, im Handwerk und bei kleinen Betrieben aber oft noch als Luxus gesehen wird

Eine Episode für alle, die Entwicklung und Security endlich als gemeinsames Projekt verstehen wollen ohne Bullshit-Bingo, sondern mit Praxisbeispielen aus einem Unternehmen, das jeden Tag sicherheitskritische Technik baut.

____________________________________________

👤 Mehr Informationen

Dennis Buroh - LinkedIn Profil: https://www.linkedin.com/in/dennis-buroh-77643811b/

____________________________________________

🎧 Reinschauen lohnt sich!

🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache

🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority

🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber

Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.

____________________________________________

Du findest mich auf folgenden Social Media Kanälen:

📸 Instagram: cybersec_ist_chefsache

🕺 TikTok:

In dieser Folge spricht Nico Freitag mit Dr. Daniel Meltzian, Leiter des Grundsatzreferats Cyber und Informationssicherheit im Bundesministerium des Innern. Der Zeitpunkt könnte kaum aktueller sein, denn am Tag der Aufnahme hat der Bundestag das NIS-2-Umsetzungsgesetz in zweiter und dritter Lesung verabschiedet.

Daniel erklärt Schritt für Schritt, wie ein Gesetz in Deutschland entsteht. Vom ersten Entwurf über Haus und Ressortabstimmung, Kabinett, Bundesrat, Bundestag bis hin zur Veröffentlichung im Bundesgesetzblatt. Beim NIS-2-Gesetz zeigt sich, warum dieser Weg oft länger dauert, als viele erwarten. Politische Blockaden, die Auflösung der Regierung, Wahlen und zusätzliche politische Wünsche haben den Prozess deutlich verzögert.

Ein Schwerpunkt der Folge ist die Frage, warum Deutschland wie viele andere EU-Staaten die EU Frist zur Umsetzung verfehlt hat. Daniel beschreibt offen, wie neun Monate Stillstand zwischen Ministerien entstanden sind und wie die neue Abteilungsleitung und veränderte Prioritäten schließlich Bewegung in die Sache gebracht haben.

Außerdem geht es um Themen wie:

• die Diskussion um kritische Komponenten und warum diese kurzfristig ins Gesetz aufgenommen wurden

• die Rolle von Bund, Ländern und Kommunen bei der Cybersicherheit

• warum die Bundesregierung nur die Ministerien, nicht aber die gesamte Bundesverwaltung regeln wollte

• wie das Parlament in der jetzigen Version doch eine breitere Regelung durchgesetzt hat

• welche Fristen jetzt gelten und warum das Gesetz vermutlich noch im Dezember in Kraft tritt

• welche Aufgaben nun beim BSI und in den Unternehmen liegen

• wie NIS-2 im Kontext anderer EU-Regelwerke wie dem Cyber Resilience Act und dem AI Act steht

• welche nächsten großen Themen im Innenministerium anstehen, darunter aktive Cyberabwehr und die neue Cybersicherheitsstrategie

Die Folge zeigt, warum Cybersicherheit politisch, organisatorisch und rechtlich komplex ist und wie viele Faktoren darüber entscheiden, wann ein Gesetz wirklich kommt. Gleichzeitig wird deutlich, wie groß der Druck inzwischen ist, weil die EU bereits ein Vertragsverletzungsverfahren gestartet hat.

Ein Blick hinter die Kulissen, der selten so offen erzählt wird.

____________________________________________

👤 Mehr Informationen

Name - LinkedIn Profil:

____________________________________________

🎧 Reinschauen lohnt sich!

🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache

🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority

🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber

Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.

____________________________________________

Du findest mich auf folgenden Social Media Kanälen:

📸 Instagram: cybersec_ist_chefsache

🕺 TikTok:

In dieser Folge spricht Nico Freitag mit Ferdinand Geringer, Sicherheitsexperte der Konrad-Adenauer Stiftung. Täglich beschäftigt er sich mit Cyber-Sicherheit, hybriden Bedrohungen, Desinformation, Sabotage und kritischen Infrastrukturen und erklärt, warum Deutschland heute verwundbarer ist, als viele glauben.

Der Schwerpunkt:

Was bedeutet „Ernstfall“ im Jahr 2025 wirklich und wie bereiten wir uns sinnvoll darauf vor?

Ferdinand ordnet ein, warum wir hybride Angriffe, Spionage, Drohnenvorfälle, Lieferkettenrisiken und digitale Manipulation längst im Alltag sehen, sie aber oft falsch interpretieren. Und warum Resilienz nicht durch Alarmismus entsteht, sondern durch realistische Vorbereitung, Vertrauen und klare Kommunikation.

Wir sprechen außerdem über:

• wie hybride Angriffe funktionieren und warum sie kaum jemand bemerkt

• weshalb Deepfakes gefährlicher sind als je zuvor

• warum Bürokratie und föderale Strukturen Sicherheit manchmal ausbremsen

• welche Rolle der neue Nationale Sicherheitsrat spielt

• wieso Medienkompetenz in Familien genauso wichtig ist wie in Unternehmen

• wie Unternehmen und Bürger sich auf Ausfälle besser vorbereiten können

• was wir von Ländern wie Schweden bei der Krisenvorsorge lernen sollten

Diese Episode zeigt:

Sicherheit entsteht heute nicht durch Perfektion, sondern durch pragmatische Vorsorge privat, staatlich und gesellschaftlich.

👤 Mehr Informationen

Ferdinand Geringer LinkedIn:

https://www.linkedin.com/in/ferdinand-geringer

👤 Mehr Informationen

Name - LinkedIn Profil:

____________________________________________

🎧 Reinschauen lohnt sich!

🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache

🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority

🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber

Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.

____________________________________________

Du findest mich auf folgenden Social Media Kanälen:

📸 Instagram: cybersec_ist_chefsache

🕺 TikTok: cybersec_ist_chefsache

🤝 LinkedIn:

In dieser Folge spricht Nico Freitag mit Janine Rauch, CISO und Head of Corporate Security bei Schnellecke Logistics. Janine hat im Unternehmen eine komplette Sicherheitsorganisation aufgebaut, die Informationssicherheit, physische Sicherheit, personelle Sicherheit, BCM und Risikomanagement zusammenführt. Ein Ansatz, der zeigt, wie wichtig ganzheitliche Security heute geworden ist.

Der Schwerpunkt dieser Folge: Wie entsteht echte Cyber-Resilienz?

Janine erklärt, warum der Begriff „digitale Souveränität“ oft völlig falsch verstanden wird. Es geht nicht darum, über Nacht unabhängig zu werden, sondern Verantwortung zu übernehmen. Verantwortung für Lieferketten, Abhängigkeiten, Datenhoheit und für Entscheidungen, die weit über IT hinausgehen. Resilienz entsteht nicht durch Perfektion, sondern durch Pragmatismus.

Ein zentrales Thema: Community. Keine Organisation kann heute alleine resilient werden. Unternehmen, Politik, Verbände, Bildung und Forschung müssen deutlich enger zusammenarbeiten. Statt Parallelinitiativen, Insellösungen und endlosen Diskussionen braucht es Austausch, Transparenz und Mut zu unperfekten, aber funktionierenden Schritten.

Wir sprechen außerdem über:

• Warum Unternehmen nicht immer First Mover sein können oder sollten

• Wie man Fachkräfte intern entwickelt, statt idealisierte Superprofile zu suchen

• Warum Medienkompetenz und KI-Verständnis längst in Schulen gehören

• Wie Eltern und Jugendliche heute mit Risiken, Daten und Plattformen umgehen

• Warum Überbürokratie Innovation ausbremst

• Welche Rolle Open Source für Resilienz spielen kann

• Wie BCM in der Praxis entscheidet, ob ein Vorfall zum Problem oder zur Krise wird

• Warum Verantwortung das bessere Wort ist als digitale Souveränität

Diese Episode zeigt, wie vielfältig und gleichzeitig greifbar Cyber-Resilienz ist, wenn man sie endlich aus der Praxis heraus betrachtet. Ohne Alarmismus, ohne Schönfärben, dafür mit klaren Worten und handfesten Ansätzen.

👤 Mehr Informationen

Janine Rauch - Linkedin Profil: https://www.linkedin.com/in/janine-rauch-jr

____________________________________________

🎧 Reinschauen lohnt sich!

🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache

🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority

🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber

Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.

____________________________________________

Du findest mich auf folgenden Social Media Kanälen:

📸 Instagram: cybersec_ist_chefsache

🕺 TikTok:

In der aktuellen Folge von „Cybersecurity ist Chefsache“ geht es um ein Thema, das besonders für kleine und mittlere Unternehmen brisant ist:

Was tun, wenn das Budget für IT-Sicherheit fehlt?

Nico Werner spricht mit Henry Werner, Sales Engineer bei Enginsight, darüber, warum IT-Security nicht teuer sein muss – aber durchdacht.

Themen der Episode:

• Kein Budget, keine Ausrede: Warum es trotzdem machbar ist, Sicherheit umzusetzen
• Transparenz statt Technik-Fetisch: Warum Sichtbarkeit der erste Schritt ist
• Buzzword-Bingo vermeiden: Warum viele Unternehmen glauben, einen „SOC“ zu brauchen aber nicht wissen, was das ist
• IT-Security ist kein Projekt: Warum Sicherheitsarbeit niemals abgeschlossen ist
• Tool-Vielfalt im Markt: Wie man die richtige Lösung findet, ohne sich zu verzetteln
• Rolle von AI & Pentesting: Henry zeigt, wie man mit KI und kostenlosen Tools echte Lerneffekte erzielen kann
• Security darf im IT-Budget nicht untergehen: Warum IT und Security getrennt betrachtet werden müssen
• „Was ist dein Asset?“ Die richtige Fragestellung entscheidet
• Realistische Einstiegshürden: Was Unternehmen heute schon umsetzen können auch mit knappen Ressourcen
• Fehlende gesetzliche Standards: Warum viele Unternehmen handeln würden, wenn sie müssten aber genau das nicht tun

Fazit:

Es braucht keine Millionen-Investments, sondern den Mut zum ersten Schritt. Wer sich Sichtbarkeit verschafft, lernt – und wer lernt, kann handeln.

Cybersecurity ist nicht sexy – aber existenziell.

Und abonnieren nicht vergessen!

👤 Mehr Informationen

Henry Werner - Linkedin Profil: https://www.linkedin.com/in/henry-werner/

____________________________________________

🎧 Reinschauen lohnt sich!

🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache

🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority

🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber

Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.

____________________________________________

Du findest mich auf folgenden Social Media Kanälen:

📸 Instagram: cybersec_ist_chefsache

🕺 TikTok: cybersec_ist_chefsache

🤝 LinkedIn: