Bild von Dominik Liss - WordPress Dev
Die Dominik Liss Show WordPress & Business Talks

#054: Bist Du eine Sicherheitslücke bei WP Projekten? | m. Herwart Wermescher

Episode anhören

Überblick

Wenn man tägliche Backups erstellt, die Updates regelmäßig einspielt und ein Sicherheits-Plugin installiert, dann ist die WordPress Website sicher... 

Das ist leider nicht der Fall! Zu einem sicheren WordPress Business gehört nämlich noch viel mehr dazu ... Wie sollte man mit Passwörtern umgehen? Was sollte man nach der Zusammenarbeit mit dem Kunden machen? 

Zusätzlich dazu gibt's auch die NIS 2 Richtlinie, die bis zum 17. Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden muss. Was bedeutet das für Dich und Dein WordPress Business? 

Wir werden uns über alle diese Themen mit Herwart Wermescher unterhalten. Herwart begleitet Unternehmen bei Datenschutz und Cybersecurity Themen und Er ist schon seit fast 30 Jahren in der IT Welt unterwegs. 

Unser Gespräch deckt folgende Themen ab:

00:00 Intro
05:10 Sind Updates, Backups und Security Plugins ausreichend?
15:45 Verantwortung für die Sicherheit bei WP Projekten
18:47 Neue Gesetzeslage ab Oktober 2024 (NIS 2, ISO 27001, DIN SPEC 27076)
36:36 Sicherheitslücken im WP Business finden und schließen
48:26 Bullet Fragen

https://www.linkedin.com/in/herwartwermescher/
https://wermescher.com

Quellen 
https://kmusec.com/ ist eine Cybersecurity/Informationssicherheit - Ratgeber Website für mittelständische Unternehmen und adressiert keine Techniker sondern Entscheidungsträger.

Artikel zum Thema WordPress Security
https://kmusec.com/ratgeber/wordpress-sicherheit/

DIN SPEC 27076
https://kmusec.com/ratgeber/din-spec-27076-klein-kleinstunternehmen/
 
Die Norm kann man kostenlos herunterladen unter:
https://www.dinmedia.de/de/technische-regel/din-spec-27076/365252629
Achtung: Lass Dich nicht irritieren, dass man die Norm in den Warenkorb legen und „kaufen“ muss.

ISO 27001
https://www.iso.org/standard/27001
 
#wordpress #cybersecurity #nis2 

// WordPress Community Gruppe //
https://www.daswpoffice.com/

Host & Gäste

Profilbild von Dominik Liss Host
Dominik Liss WordPress Dev
Profilbild von Herwart Wermescher Gast
Herwart Wermescher Berater zu Themen Datenschutz und Cybersecurity

Video

Ähnliche Episoden

Cover Image

Cookies und andere DSGVO Schmankerl | m. Jan Karres

Du hast wahrscheinlich schon das Plugin "Real Media Library" oder "Real Cookie Banner" verwendet. Diese WordPress Plugins wurden von devowl.io entwickelt und diese Firma wurde von Jan Karres und Matthias Günter gegründet.

Episode anhören
Cover Image

Moderne & Erfolgreiche Freelancing Strategien | m. Nik Zechner

In dieser Episode geht's um's Business! Genauer gesagt um's Freelancing Business.

Episode anhören

Transkript

Heute geht es um Security und da unterhalten wir uns mit Herwart Wermescher.

Da bin ich schon sehr gespannt, weil du hast mich auf Themen aufmerksam gemacht, die mir davor nicht so wirklich klar bewusst waren und da meine ich einerseits damit eine neue Gesetzesgrundlage, die dann ab Oktober relevant sein wird und dann gibt es noch andere Sachen wie, hey, die meisten Leute kennen ja WordPress und Security, die verbinden das Thema mit regelmäßigen Backups, Updates und einem Security-Plugin.

Aber dann gibt's noch so Themen, ob man vielleicht selbst nicht eine Sicherheitslücke ist als Dienstleister, welche Voraussetzungen man da erfüllen sollte in Bezug dann auch auf zum Beispiel, wie gehe ich mit Passwörtern um.

Bei größeren Kunden wird das noch relevanter, weil wenn die zum Beispiel ISO-zertifiziert sind, dann spielst du ja eine Rolle dann auch in der Supply Chain, sagen wir jetzt mal, unter Anführungszeichen ist der Fachbegriff.

Und da gibt es so viele Themen, auf die du mich einfach aufmerksam gemacht hast, wo es einfach mega cool ist, dass wir jetzt diese Podcast-Episode aufnehmen können.

Ja und das Ziel dieser Episode ist einfach, dir als Zuschauer und Zuschauerin oder Zuhörer oder Zuhörerin das Wissen zu vermitteln, besser die eigenen Kunden über Security bei WordPress-Websites zu beraten und einfach dieses Bewusstsein zu stärken, was die Risiken sind, ob man vielleicht alles richtig macht oder ob man selbst ein bisschen so ein Risiko darstellt, welche rechtlichen Voraussetzungen sollte man erfüllen und damit werden wir uns in dieser Episode beschäftigen und herzlich willkommen bei der 54. Episode der Dominik Liss Show.

Auf diesem Podcast gibt es Wordpress und Business Talks, das heißt, wenn du Wordpress in deinem Business verwendest, dann bist du hier genau richtig, weil jede Episode ist vollgepackt nützlichen Tipps, Tricks, Geheimnissen und Storys der besten Experten aus der Wordpress-Branche und das Ziel des Podcasts ist, dir dabei zu helfen, ein besserer Professional in der Wordpress-Welt zu werden.

Und an der Stelle, Herwart, herzlich willkommen.

Könntest du dich bitte auch kurz selbst vorstellen, damit dich die Zuschauer und Zuschauerinnen ein bisschen besser kennenlernen können? Ja, danke Dominik.

Danke für die Einladung zu diesem Podcast.

Wir haben uns ja kennengelernt beim WordCamp und da ist mein Thema damals der Datenschutz gewesen mit dem Scanner für Webseiten, aber nicht nur Datenschutz, sondern auch Security Aspekte der Webseiten.

Ich bin vom Herzen Technologe und habe über viele Jahre hinweg für einen Investor gearbeitet und habe dort in Unternehmen, in vor allem technischen Unternehmen gearbeitet und war dort auch für Datenschutz und für Cyber Security mitverantworte ich natürlich auch für die Ergebnisse des Unternehmens und habe dort sehr sehr viel mitbekommen, habe mich seit einem guten Jahr selbstständig gemacht und arbeite jetzt hauptsächlich im Bereich Cyber Security und habe durch meine durch meine technische Leidenschaft noch wie vor eine sehr starke Beziehung zum WordPress, auch die Webseiten die wir privat gemacht haben, gehen immer in diese Richtung.

Für Webseiten ist Cybersecurity natürlich ein Thema, weil die immer nach außen dargestellt sind und jeder praktisch darauf zugreifen kann und darum ist es wirklich sehr notwendig, sich mit Themen zu beschäftigen, die über Backups und Plugin-Updates hinausgehen.

Zumal, wie der Dominik auch am Anfang schon erwähnt hat, dass es ein neues Gesetz geben wird.

Und zwar wird es Mitte Oktober, am 17. Oktober, wird mit allerhöchster Wahrscheinlichkeit die NIS2 als Gesetz in Österreich in Kraft treten, was bedeutet, dass große Unternehmen in Österreich dann sehr, sehr viel zu erfüllen haben, im Bereich Informationssicherheit.

Und nicht nur sie selber, sondern auch ihre Lieferanten.

Als Agentur für Webseiten, wenn man größere Unternehmen beliefert, werden die größeren Unternehmen auch in der Supply Chain, also bei euch als Agentur, anfragen, welche Cybersicherheitsmaßnahmen ihr denn ergreift und zwar nicht nur für die Webseite eures Kunden, sondern auch für euer eigenes Unternehmen und eure eigenen Mitarbeiter.

Also kurz zusammengefasst, weil ich habe dann so deine LinkedIn-Page gestalkt ein bisschen und du bist ja schon Jahrzehnte in der Branche unterwegs und jetzt begleitest du Klein- und Mittelunternehmen, wenn ich das richtig verstanden habe, in Themen Cybersecurity.

Dann hast du ja noch einen sehr ausführlichen Artikel, Blogartikel zum Thema WordPress Security geschrieben.

Den werden wir dann nach unten verlinken, damit sich das die Zuschauer und Zuschauerinnen dann in Ruhe durchlesen können.

Und da kurz ab davor, weil wir werden so an rechtliche Themen angrenzen, also da wollte ich nur kurz erwähnen, das ist keine Rechtsberatung, wir sind keine Juristen, keine Rechtsanwälte, deswegen seht ihr das nicht als eine Rechtsberatung.

Es ist halt nur so, dass das Thema Security dann in dem Kontext, wo wir jetzt darüber sprechen werden, sehr stark an rechtliche Grundlagen angrenzen wird, deswegen wollte ich das mal kurz erwähnen.

Und vielleicht starten wir mal mit dem Thema, wo sich jeder mal damit beschäftigt hat oder beschäftigen sollte, falls er oder sie das noch nicht gemacht hat, bei WordPress- Websites.

Weil das, was man so hört, ja, WordPress ist nicht unbedingt ein sicheres System, aber wenn du willst, dass deine WordPress-Website sicher ist, dann schau bitte, dass du regelmäßig Backups erstellst, schau, dass deine Website aktuell bleibt, also dass du immer die Updates einspielst in regelmäßigen Abständen und dass du ein Sicherheitsplugin installiert hast und das sind so die gängigen Ratschläge, die man so im Internet hört.

Wie ist so dein Zugang zu dem Ganzen? Stimmt das im Großen und Ganzen? Und was würdest du empfehlen, dass man bei WordPress-Websites noch macht oder sich zumindest darüber Gedanken macht, wenn man jetzt das als Dienstleistung anbietet und das Erstellen der Websites als Dienstleistung verkauft? Die Punkte, die du erwähnt hast, sind natürlich sehr, sehr wichtig und man darf nicht vergessen, dass Sicherheit eine mehrschichtige Geschichte ist.

Also wenn man etwas macht, dann ist es einmal an sich sehr gut, dass man es macht.

Also ohne einem Security-Plugin sollte man eine Webseite natürlich nicht betreiben.

Man darf aber nicht vergessen, dass das auch ordentlich konfiguriert gehört und dass es wirklich zum Teil von einem Profi gemacht werden soll.

Also es ist besser, es macht die Agentur oder es macht der Kunde selber nach bestem Wissen und Gewissen.

Das wollte ich auf Fälle dazusagen.

Und insofern ist es auch wirklich sehr wichtig, bei der Auswahl der Agentur sehr, sehr genau zu schauen, ob sich die mit solchen Themen auskennen und ob die auf solche Themen einen Wert legen.

Und für euch als Agenturen praktisch ist es aus meiner Sicht auch sehr, sehr wichtig, dafür eine Antwort zu haben.

Also wenn ein Kunde fragt, wie schaut es bei euch aus, Cybersecurity-mäßig, was macht ihr, sollt ihr wirklich eine Antwort dazu haben.

Und das sollte nicht nur sagen, wir installieren ein Backup und ein Security-Plugin.

Um auf deine Frage von zuerst zurückzukommen, du hast gefragt, was könnte man noch machen auf einer Website, also direkt quasi als technische Maßnahme.

Man muss natürlich auch darauf achten, dass der Hosting-Provider entsprechend vernünftig arbeitet.

Sprich, das Betriebssystem muss immer abgedeckt sein.

Also wenn man selber hostet, muss man das natürlich alles selber machen.

das Betriebssystem muss upgedated sein, es muss das PHP-Version muss upgedated sein, es muss das WordPress als Open-Source-System upgedated sein, die Plugins müssen upgedated sein und nicht zuletzt, falls man es verwendet, auch das Theme, wobei die Überlegung beim Theme muss man schauen, ob das überhaupt einen Sinn macht, ein Theme zu verwenden, also ein Customized-Theme zu verwenden, weil viele der Page-Builder haben schon so viele Funktionen, dass ein Theme an sich gar nicht mehr notwendig ist.

Ein Theme ist sehr oft das Problem, weil manche Themes, also es ist auch mir schon passiert über die Jahrzehnte hinweg, werden nicht mehr upgedated oder haben ein Plugin dabei, das man eigentlich gar nicht kaufen will, aber dann doch kaufen muss, weil sie auch upgedated werden.

Von der technischen Seite daher ist es auf alle Fälle wichtig, und das ist eines der Standardsachen, was du wahrscheinlich jetzt in der ersten Auflistung vergessen hast, das ist natürlich ein SSL-Zertifikat.

Also ein SSL-Zertifikat und die richtigen TLS-Algorithmen, ohne dem geht's nicht, darf man keine Webseiten mehr machen.

Auch aus Datenschutzgründen, sobald der Kunde etwas eingibt, muss das auch verschlüsselt übers Internet übertragen werden.

Manche der Security-Plugins haben schon die Möglichkeit des Two-Factor-Authentication, was bedeutet, dass wenn man sich beim Plug-in dann einloggt, beziehungsweise wenn man sich auf der Website einloggt, gibt man nicht mehr nur das Passwort ein, sondern hat dann einen zweiten Faktor, mit einem Authenticator-App auf dem Handy zum Beispiel, dass man beim Einloggen halt schon dramatisch höhere Sicherheit hat.

Und es geht sehr oft in der Cyber-Sicherheit darum, praktisch, dass man von außen her zeigt, dass man sich um die Dinge kümmert.

Weil wenn ein Hacker über tausende oder hunderttausende Webseiten oder IP-Adressen drüber scannt und der sieht, aha, da gibt es eine Möglichkeit, da gibt es vielleicht ein Standard-Passwort oder da sind die TLS-Algorithmen noch offen oder vielleicht der alte SSL-V3 offen noch, dann ist es viel attraktiver für einen Hacker, wenn er einfach über die Masse drüber geht.

Und insofern sollte man alle diese Dinge, die von außen gehen, von außen sichtbar sind, machen.

Das kann man ein bisschen vergleichen, wie man sich am besten vor einer Bärenattacke schützt.

Man läuft einfach schneller als der Langsamste.

Ihr habt vielleicht noch das Thema des Directory Browsing.

Also es gibt bei WordPress, wird das standardmäßig nicht gemacht.

Wenn man auf gewisse Sub-URLs geht, zum Beispiel slash wp-includes, also das wp-includes Verzeichnis ist üblicherweise sichtbar und wenn ich das aufmache, dann kann man auf einmal dort die verschiedenen PHP-Dateien sehen und wie soll ich sagen, einen Angriffsvektor, den man eigentlich nicht haben will, über die Konfiguration der htaccess-Datei kann man sowas ausschließen.

Und vielleicht auch noch dieser Punkt der HTTP-Security-Header, mit denen man einstellen kann, wie sich der Browser, also der Kundenviewer, praktisch wie sich der Webbrowser behalten soll.

Und da kann man zum Beispiel sagen, meine Website hat nur HTTPS-URLs und Bilder und JavaScript-Dateien und so weiter und der Browser greift dann wirklich nur auf diese Art von Dateien zu.

was.

Natürlich die Website schier machen kann, wenn man gewisse Bilder über HTTP einbindet und der Browser auf das gar nicht mehr zugreift.

Aber wenn man eine Website sauber macht und das dem Kunden sauber übergibt, dann hat man die Basis dazu, dass man nicht im Nachhinein solche Sachen macht.

Ja, das sind megaviele Themen, die man entpacken könnte.

Und ich glaube, in diesen Themen könnten wir jeweils einzelne Podcast-Episoden aufnehmen, weil die so umfangreich sind.

Alleine bei Themen Backup, wie oft, wo gespeichert, verschlüsselt, nicht verschlüsselt, da gibt es so viele Details.

Dann noch Thema Security-Plugins, gibt es da auch eigene Philosophien, Updates, automatisierte Updates, Update-Prozesse und so weiter, was ist sinnvoll, was ist weniger sinnvoll, da gibt es einfach so viele Details, dass wir uns in jedes Thema einzeln vertiefen könnten und ich glaube, die Zuhörer und Zuhörerinnen sind dann in deinem Blogartikel relativ gut aufgehoben, was dann die konkreten Details noch angeht, aber in der Episode würde ich mich dann gerne ein bisschen darauf fokussieren oder ein bisschen so ein Fokus drauf legen, wer hat dann eigentlich die Verantwortung für was? Das heißt, wir werden dann auch zum Beispiel in das Thema eintauchen, wenn ich ein Third-Party-Wordpress-Plugin installiere und das hat aus irgendeinem Grund eine Sicherheitslücke, was ist dann los? Bin ich dann als die Person, die das empfohlen hat, irgendwie damit verantwortlich für das, dass die Website gehackt wird, obwohl jetzt z.

B.

ich regelmäßig die Updates einspiele, aber das war eine unbekannte Lücke und in solche Kleinigkeiten werden wir uns dann vertiefen, auch Thema Offboarding z.

B.

, was sollte man machen, wenn man mit dem Kunden aufhört zu arbeiten, weil Onboarding ist glaube ich jeden ein Begriff, aber so ein Offboarding bezüglich Security machen glaube die wenigsten.

Und dann hast du aber noch die neue Gesetzeslage, die ab Oktober auf uns zukommt, erwähnt.

Ich habe das nur ein bisschen so peripher mitbekommen, weil ein Kunde von mir ist 27001 ISO-zertifiziert und da habe ich einfach nur mal die Info bekommen, richte dir überall die Two-Factor-Authentication ein, sowohl beim Hosting-Anbieter als auch bei deinem WordPress-Login und da habe ich mitbekommen so, ok, da ist irgendwas los und du hast mir dann einfach das Thema näher gebracht.

Könntest du vielleicht kurz erklären, was das ist, was kommt auf uns ab Oktober zu und inwiefern wird das dann einen Dienstleister betreffen, der einfach WordPress-Websites anbietet und verkauft? Kurze Pause in einer Sache, weil es geht um die WordPress-Community-Gruppe.

Weil da sind wir schon ein paar Leute.

Ich glaube, da sind wir schon über 70 Leute, also schon eine ganz schön große Menge.

Da würde ich gerne dann das Gespräch dieser Podcast-Episode in der Community-Gruppe fortsetzen, weil wenn du jetzt zum Beispiel auf YouTube bist, dann kannst du gerne deine Fragen oder Kommentare einfach in den Kommentaren stellen, aber falls du jetzt beim Audio-Podcast zuhörst, in deiner Podcast-App, dann wirst du diese Möglichkeit nicht haben.

Deswegen lade ich dich ein, einfach auf den Link in der Beschreibung zu klicken da kommst du direkt zu der Seite, wo du der kostenlosen WordPress-Community beitreten kannst.

Wie gesagt, da werden wir die Diskussion weiterführen zu dieser Podcast-Episode, teilweise auch mit den Gästen.

Das heißt, gelegentlich wirst du dann auch mit den Gästen schreiben können.

Teil dort bitte deine Meinungen, da werde ich alle dazu motivieren, ein bisschen was zu dem Thema beizutragen.

Falls du auch andere WordPress-Fragen hast, dann wirst du natürlich Antworten auf diese Fragen bekommen.

Wenn du vorbeischaust in der dann sag bitte Hallo, kannst dich gerne vorstellen, sagen was du machst.

Falls du wirklich konkrete Fragen hast, dann können wir uns gerne auch Sprechstunden ausmachen innerhalb der Community und ja, würde mich freuen, wenn du auch dabei bist.

Dann sehen wir uns dort und jetzt geht's weiter mit dem Video.

Bevor ich jetzt deine Frage beantworte, wollte ich noch einen kurzen Quick Win für das Backup erwähnen, weil viele Unternehmen machen gerne ein Abbild vom gesamten Server.

Nehmen wir das als Backup her, geht irrsinnig schnell, kann man relativ locker wegspeichern.

Ich will nur dazu sagen, dass man, wenn diese Website gehackt ist und man macht ein Abbild vom Server oder wenn der Server gehackt ist und man macht ein Abbild vom Server, dann hat man halt auch den Angriffsvektor praktisch direkt in den Backup drinnen und wenn dann die Website restored wird, dann restored man praktisch das Problem gleich wieder mit.

Also wenn man Backups macht, sollte man das clever machen, Daten wegspeichern, der Rest wird installiert, dann werden die Daten drüber gestülpt und die Website funktioniert wieder.

Natürlich sollte man das auch regelmäßig ausprobieren.

Und am besten dann auch nicht gleich in der Dropbox, wo jeder andere Mensch Zugriff drauf hat.

Ja, natürlich ist das, wo man das Backup aufhebt, ist ja auch noch eine sehr wesentliche Frage.

Vielleicht, dass ich jetzt auf die Thematik eingehe bezüglich, du hast zuerst, also noch bevor wir auf die Gesetzesaspekte gehen, geht es praktisch um, wer ist verantwortlich, wenn ein Plugin installiert wird, wenn ein Plugin out of date ist, wenn ein Plugin vielleicht gar nicht mehr weiter gewartet wird.

Man muss wirklich das sehr, sehr weise entscheiden, welche Plugins man verwendet, auch bei den Themes eben und dort kann man sich vor allem für die entscheiden, die halt schon lange gewartet werden und immer sehr, sehr rasch up-to-date sind.

Nichtsdestotrotz kann es passieren, dass ein Plugin gehackt wird, dass es irgendeine Möglichkeit gibt, über ein Plugin die Website zu kapern und diesen Aspekt und andere Cybersecurity Aspekte, die ja hier rechtlicher Natur sind, wer ist wofür verantwortlich, darf man auf keinen Fall vergessen in die eigenen AGBs bzw.

auch direkt in die Verträge hinein zu tun, dass man für sowas natürlich keine Verantwortung übernehmen kann.

Selbst wenn man eine Website betreibt, kann man nicht eine Verantwortung für sowas übernehmen.

Was man allerdings machen kann, ist man kann einen Service Level garantieren, dass man innerhalb von einer gewissen Zeit, das hängt ja auch von der Funktionalität der Website ab, aber innerhalb von einer gewissen Zeit man dann Updates macht und das ermöglicht das dann den Service Level.

Also nicht der technische Aspekt des Installierens, ich mache das jetzt und sonst bin ich verantwortlich, sondern es geht darum, dass ich dem Kunden erkläre, ich, wenn ich die Software, also die Wartung auch von der Website habe, ich kümmere mich darum, dass wenn ein Plugin neu rauskommt, dass ich das Binnen von einer Woche oder von zwei Wochen oder am selben Tag noch automatisiert installiere.

Also sowas kann man per SLA zusichern, aber eine Sicherheit geben darf man auf keinen Fall und sollte man eher in den AGBs beziehungsweise in dem Vertrag mit dem Kunden ausschließen.

Und mit SLA meinst du das Service Level Agreement, also quasi ein Wartungsvertrag, den man dann mit dem Kunden vereinbaren kann, oder? Das Service Level Agreement ist genau, Es ist ein Teil des Wartungsvertrags, den Service Level, den man praktisch definiert.

Also man braucht da kein spezielles, separates Agreement.

Man schreibt halt in den Wartungsvertrag hinein, welche Dienstleistungen man liefert.

Da ist dann oft auch eine Stunde Betreuung oder eine gewisse Art der Betreuung für die Website dabei, wenn man einmal eine Grafik von links nach rechts verschiebt, ein Pixel größer macht oder die Schriftart ein bisschen anpasst.

Aber wenn man die Wartung der Website macht, sprich vom Server, über PHP, über WordPress bis hin zu den Plugins, dann sollte man praktisch dem Kunden auch zusagen, wie man die Wartung macht, dass man eben regelmäßig Updates macht.

Das muss nicht am selben Tag sein, ja, sondern man kann sehr wohl zuerst einmal schauen, mach ein Update, funktioniert die Website, wenn es upgedated ist, auch.

Wenn das ist, gehe ich ins Live-System hin.

Du hast dann weiters auch noch die Frage gestellt bezüglich der Gesetzeslage und die Gesetzeslage in dem Fall, die gesamte IT-Branche und die gesamte, also alle Industrien ist eigentlich, ändern sich jetzt gerade.

Das Jahr 2024 ist im Prinzip das Jahr der neuen Regulierung, der neuen Gesetze hinsichtlich Cybersicherheit, die vor allem von der EU ausgetrieben wurden, um die wichtigsten und wesentlichen Unternehmen der Mitgliedsländer zu schützen.

Das nennt sich cyberresilient, dass man praktisch sicherer gegenüber von Angriffen aus dem Inland natürlich auch, ja, aber vor allem auch aus den größeren ausländischen Märkten, sprich Russland, Amerika, China und so weiter, standhalten kann, dass also die europäische Wirtschaft resilienter wird.

Und jetzt ist natürlich eine Website-Agentur kein großes, wesentliches, wichtiges Unternehmen, aber deren Kunden sind wesentliche Unternehmen und die müssen dann diese Richtlinien einhalten.

Und da wird es praktisch Mitte Oktober das NIS2-Gesetz geben.

Jedes Land in Europa muss es zu diesem Zeitpunkt einführen, sonst setzt es Strafen.

Das heißt, alle streben auch in diese Richtung, dass das passiert.

Und wenn es da nicht passiert, dann halt gleich darauf.

Und dort drinnen sind sehr, sehr viele Informationssicherheitsmaßnahmen verankert.

Und du hast zuerst die ISO 27001 erwähnt.

Die ISO 27001 würde ich fast als Baseline für diese NIS 2 Compliance sehen.

Also wer ein ISMS, also Informationssicherheitsmanagementsystem, in einem größeren Unternehmen installiert, wird das normalerweise nach ISO 27001 machen und das ist eine sehr, sehr, sehr gute Basis für die NIS 2. Und ganz kurz, falls ISO noch überhaupt ein neuer Begriff ist für manche Zuhörer, ISO kann man als Norm oder Zertifikat sehen oder wie kann man das einfach sehen, weil da gibt es ja verschiedene ISO-Zertifizierungen und wie kann man das am besten verstehen? ISO ist die Abkürzung für International Standardization Organization, das ist eine internationale Organisation im Sitz in Genf und die machen sehr viele Standards, sehr sehr breit gestreut, unter anderem auch Telekommunikationsstandards und unter anderem auch Cyber Security.

Also wenn man Zertifikate, elektronische Zertifikate zum Beispiel anschaut oder wo ich gearbeitet habe im Voice-Over-IP-Bereich, dort gibt es überall ISO-Normen, die technologisch auch unter anderem vorgeben, wie Dinge auszusehen haben und die ISO 27001 ist jetzt eher eine Management-Norm, da sind keine technologischen Details drinnen, aber es ist eine Norm, die erklärt, wie man ein Unternehmen praktisch informationssicher machen kann und auch behält und verbessert.

Also das ist diese ISO 27001-Norm.

Und NIS das Netzwerkinformationssicherheitsgesetz, das kommt praktisch zunächst einmal als Forderung von der EU und ist dann in den Ländern als Gesetz umgesetzt und ab da einzuhalten.

Das heißt, wenn das Gesetz am 27. Oktober rauskommt, dann muss es am 28. Oktober eingehalten werden.

Und die Firmen wissen das schon lange, die großen Firmen sollten es schon lange wissen, ich muss mich da ausbessern, und sollten schon lange daran arbeiten, weil solche Maßnahmen zu implementieren, braucht normalerweise über ein Jahr.

Und mit NIS2, das was jetzt auf uns zukommen wird ab Oktober, wen wird das überhaupt betreffen, weil ich denke mir, den Friseur ums Eck wird es wahrscheinlich nicht betreffen.

Wer sollte sich darüber überhaupt Gedanken machen? Vielleicht um Zahlen zu nennen, die NIS, das ist praktisch die Vorgänger, das Vorgängergesetz auch.

Das hat in Österreich gute 100 Unternehmen getroffen, vor allem Stromanbieter, Telekommunikationsanbieter, die Großen, die wirklich kritische Infrastruktur betreffen.

Das ist aber an sich zu wenig, wenn man Europa cyberresilient machen will und die NIS2 zielt jetzt ab auf in Österreich, wo zwischen 4.000 bis 6.000 Unternehmen, da kann man sich vorstellen, was das bedeutet in den nächsten Monaten.

Also wir kommen von guten 100 Unternehmen und gehen hin zu 4.000 bis 6.000 Unternehmen, die NIS 2 einhalten müssen.

Und diese müssen dann ihren Lieferanten auch, weil einer der Angriffsvektoren im Cyber Security Bereich ist halt, über Lieferanten zu kommen.

Und insofern müssen die NIS2-pflichtigen Unternehmen dann auch absichern, dass ihre Lieferanten Cybersicherheitsmaßnahmen ergreifen und entsprechend den Vorgaben dann auch agieren.

Das heißt nicht unbedingt, dass ein Lieferant an ISO 27001 zertifiziert werden muss, weil kleinere Unternehmen können das nicht machen.

Das ist einfach zu klein.

Das geht erst ab einem größeren Unternehmen, also mittelständischen Unternehmen.

Aber es gibt auch Standards oder es gibt auch Möglichkeiten, kleinere Unternehmen in diese Richtung zu bringen.

Das war eigentlich auch der Grund, warum Dominik und ich uns begonnen haben zu unterhalten in Richtung Cyber Security, weil es in Deutschland, nicht in Österreich, aber in Deutschland gibt es die DIN-Norm, die deutsche Industrienorm, die DIN-Spec 27076 und die geht in die Richtung, dass man Klein- und Kleinstunternehmen, also zwischen einem EPU bis hin zu, sage ich jetzt mal, 50 Mitarbeiter ungefähr, in diese Richtung Cybersecurity bringen kann, indem man im Rahmen von ungefähr einem Manntag von einem Cybersecurity-Berater herausfindet, wo seine eigenen Cyber-Risiken liegen.

Und man wird überrascht sein, das hat nur zum Teil mit Technologie zu tun, weil Die meisten, die über Cybersecurity nachdenken, im Wordpress-Bereich denken sie über Plugins nach, über Backup-Plugins und Security-Plugins.

Andere Firmen denken dann dort über Firewalls und Antivirus nach, aber das geht viel, viel weiter.

Das geht praktisch in die Denkweise des Unternehmens, sind das Handeln des Unternehmens und deswegen ist so eine Vorgabe, in der man dann sehr, sehr strukturiert, das sind über 60 Fragen, abarbeitet mit einem, der sich sozusagen von der anderen Seite gut auskennt und dann wirklich diese Themen des eigenen Unternehmens beleuchten kann.

Das zahlt sich auch für kleine Agenturen aus, dass man so etwas durchbespricht.

Und das ist eben als Lieferant für ein NIS2-pflichtiges Unternehmen schon mal ganz gut, wenn die sagen, was macht ihr denn in Bezug auf Cyber Security.

Und man kann dann sagen, ja, wir haben nach der DIN SPEC 27076 einmal ein Risiko-Assessment durchgeführt.

Ein Ergebnis daraus ist dann ein genormtes Dokument, sogar die Schriftgröße haben die Deutschen dort genormt, ein genormtes Dokument, wo dann vor allem auch eine Art Roadmap, also ein Fahrplan erstellt wird, wo dann Maßnahmen vorgeschlagen werden, welche man als nächstes machen kann.

Und dann kann man sehr gut priorisieren mit dem Budget, was man einerseits hat und mit der Sicherheit, die man dadurch gewinnt.

Und sowas kann man dann vorlegen und sagen, schau her, wir haben uns damit beschäftigt, wir sind diese Fragen durchgegangen und das Allerwichtigste dabei ist auch hier, wie bei der NIS2, ist Awareness.

Die Unternehmen verstehen plötzlich, dass Cyber Security Dinge sind, über die man nicht reden muss, sondern das muss ins Handeln übergehen.

Wenn jemand ein Konto bekommt bei einem Kunden, um dort Plugins abzudaten, um dort die Website zu verbessern oder etwas zu machen, am Ende des Projekts muss sichergestellt sein, dass man das Konto disabelt oder dass man das Konto überhaupt löscht.

Also wenn man sich um solche offensichtlich einfache Dinge, die aber nichts mit Antivirus zu tun haben oder mit Firewalls, mit technischen Implementationen und mit Software as a Service.

Da geht es nur um Prozesse, die wirklich sehr, sehr wichtig sind und eingehalten werden müssen, weil es sind alles Eintrittstore, potenzielle Eintrittstore für Angreifer.

Ja und da gibt es ja auch diese ganzen Sachen, diese anderen Sachen, die du erwähnt hast eben, dass man jetzt nicht nur mit irgendeinem Sicherheitsplugin denken sollte, wenn man über Sicherheit spricht, sondern auch zum Beispiel, da gibt es ja das große Thema Social Engineering, dass ich, wenn ich dich zum Beispiel nach dem Passwort frage und du gibst das mir, okay, dann habe ich dich theoretisch gehackt, weil ich habe dein Passwort jetzt.

Ganz genau, praktisch gehackt.

Da ist dann Two-Factor-Authentication schon mal etwas, dass wenn jemand diesen Fehler macht, dass man dann trotzdem in der nächsten Schicht praktisch ja mit Two-Factor-Authentication das Passwort gar nicht genügt.

Und was du zuerst gesagt hast, Diese Awareness im Unternehmen ist natürlich unglaublich wichtig, darum ist auch ein wichtiger Teil die Trainings aller Mitarbeiter, dass ihnen das bewusst ist, ein Passwort wird einfach nicht weitergegeben.

Da gibt es keinen, ah jetzt nur ganz schnell, das gibt es nicht, sondern ein Passwort wird nicht weitergegeben und aus.

Ja und da gibt es ja auch diese klassischen Situationen, die man so in den Firmen sieht, so, hey, das Passwort wurde auf einem Post-it auf dem Monitor draufgepickt oder das, was glaube ich, gängiger ist bei WordPress-Projekten, dass, hey, kannst du mir schnell mal die Zugangsdaten zum Hosting-Anbieter schicken, damit ich da was machen kann und dann bekommst du das gleich alles inklusive Login-Link, Benutznamen und Passwort per E-Mail in einen Block zugeschickt.

Also solche Situationen sind eher die Situationen, die du glaube ich gemeint hast, okay, es geht doch nach WordPress hinaus auch ein gewisses Verständnis heraus, welches man haben sollte, um jetzt in Richtung zu denken, bin ich ein Sicherheitsrisiko für meinen Kunden oder nicht.

Und dadurch, dass jetzt die neue Gesetzeslage kommt ab Oktober, dann kann es gut sein, wenn man den einen oder anderen größeren Kunden betreut, dass man dann wirklich auch da in dieser Lieferantenkette steckt, also als Dienstleister, wo man Websites liefert, ist man an und für sich schon ein Lieferant und steckt in dieser Lieferantenkette, worüber du schon gesprochen hast, aber das ist ein bisschen so, glaube ich, wie mit der DSGVO, also mit Datenschutz und mit der DSGVO und mit Barrierefreiheit und mit dem European Accessibility Act, welches dann 2025 kommen sollte, wenn es keinen rechtlichen Zwang gibt, dann werden viele Themen einfach ignoriert, obwohl das eigentlich ganz sinnvoll wäre, sich damit zu beschäftigen.

Und jetzt, dadurch, dass wir das noch nicht so konkret erwähnt haben, wird sich wahrscheinlich jeder fragen, okay, soll ich das jetzt bei allen Kunden machen? Soll ich das nur bei vereinzelten Kunden machen? Muss ich überhaupt was machen? Betrifft mich das oder nicht? Können wir das vielleicht, oder könntest du das vielleicht ein bisschen mehr konkretisieren, als wenn jetzt der gerade wieder zuhört und sich fragt, okay, betrifft mich das, muss ich da was machen? Wie kann man bei sich selbst feststellen, ob man da irgendwas machen muss auf der rechtlichen Seite, abgesehen davon, dass man sich ohnehin damit beschäftigen sollte, aber was ist dann eben dann die Sache mit der rechtlichen Grundlage, dass man dann einfach diese Verpflichtung hat, sich damit zu beschäftigen? Mit diesem Zwang Dinge zu tun bin ich eigentlich nicht der große Freund, allerdings war es mittlerweile schon sehr offensichtlich, dass es notwendig ist und die NIS2 hat aus diesem Grund auch klare Worte gefunden, dass Geschäftsführer, wenn sie nicht handeln, auch haftbar sind dafür.

Insofern ist das ein sehr sehr spannendes Thema, auch in Bezug auf DSGVO, ist ja auch schon öfters besprochen worden.

Gibt es diverse Strafen, wenn man kein Impressum hat oder wenn man sich um gewisse Dinge nicht kümmert oder wenn man Daten übermittelt, ohne HTTPS zu verwenden.

Insofern war es offensichtlich notwendig, in diese Richtung zu gehen und auf dieser Basis einen Druck auszuüben.

Was ich bezüglich deiner Frage unbedingt erwähnen will, ist, dass Cyber Security nicht etwas ist, was man für einen Kunden macht oder für zwei Kunden macht, sondern man macht es fürs Unternehmen.

Man macht es für sich selber und man agiert ab da genauso.

Man ändert sich nicht mehr.

Das ist wie, ich bin höflich zu anderen Menschen und ich ändere das nicht mehr.

Ich bleibe dabei.

Das ist mein Konzept.

So arbeite ich als Agentur.

Ich mache euch die schönste Website und ich mache sie euch so, dass wir gewisse Sicherheitsmaßnahmen selbstverständlich gleich mitmachen.

Und insofern ist diese Frage bezüglich, wie mache ich es oder für wen mache ich es, sollte gar nicht gestellt werden.

Also wenn man so ein Risk Assessment gemacht hat und versteht, wie das in die Denke des Unternehmens hineinkommt, dann versteht man auch wirklich, dass ein wichtiger integraler Bestandteil der eigenen Lieferung sein muss.

Also ich liefere ein Produkt, das nicht mehr nur schön ist, sondern es sollte auch Search Engine optimiert sein, es sollte den datenschutzrechtlichen Aspekten genügen und es muss auch im Idealfall nach Security First, aber es muss auch nach gewissen Sicherheitsrichtlinien erstellt sein und es müssen auch gewisse Sicherheitsaspekte mit implementiert sein, also wie diese Security Header oder HTTPS oder regelmäßige Updates durchzuführen.

Das ist ein Teil einer professionellen Website.

Und insofern kann ich als Agentur damit jetzt noch werben, weil viele Agenturen haben darauf diese Antwort nicht.

Also nach diesem Business Talk, glaube ich, haben wir auf alle Fälle ein bisschen die Leute wachgerüttelt.

Aber in Wirklichkeit sollte das gar kein Argument fürs Verkaufen sein, sondern in Wirklichkeit sollte das ein absoluter Standard für jedes Unternehmen und jegliche Art von Agieren im Cyberraum sein.

Das Problem, was wir im Prinzip haben, ist, dass die IT-Denke sehr oft so weit geht, bis es funktioniert.

Juhu, wir haben es geschafft, yeah, gehen wir zum nächsten Projekt über, weil die Die Pipeline ist unendlich lang in der IT, da ist immer sehr viel los, aber die letzten 20 Prozent haben einen riesigen Impact auf das gesamte Projekt.

Das bedeutet natürlich auch für den Kunden, dass die Projekte teurer werden müssen.

Also man kann nicht zum selben Preis dieselben Maßnahmen praktisch liefern und dann noch zusätzlich cybersicher agieren.

Das ist ein Aspekt, den verstehen die Unternehmen schon auch und bepreisen es auch selber.

Und wenn ich als Agentur das anbiete, dass ich eben selbstverständlich auch cybersicher bin, dann kann man und muss man das auch bepreisen.

Wird vielleicht am Anfang noch etwas schwieriger zu argumentieren sein, aber man wird es dann sehen, dass die Konkurrenz auch höhere Preise anbieten muss, weil sonst kann man sich das nicht leisten.

Ich sehe dann schon im Angebot von Agenturen so, ja, jetzt bieten wir das Cyber Security Plus Paket an und solche Sachen.

Ja, das wird es auch geben, aber dann hat man es nicht verstanden.

Nein, aber dass man sich da einfach von der Konkurrenz aktuell abheben kann, ist, finde ich, ein guter Punkt, weil wenn man einfach diese Sachen für das eigene Unternehmen macht, sich damit beschäftigt und dann auch sich damit beschäftigt, wie kann ich das dann auf die eigenen WordPress Projekte übertragen und so weiter, also damit das einfach ganzheitlich gesehen wird, ist das glaube ich dann schon auch ein sehr beruhigender Punkt oder ein Argument für einen potenziellen neuen Kunden, der jetzt ein bisschen ein Unternehmensrisiko hat, wenn er einen neuen Dienstleister dann mit ins Boot holt.

Dann würde ich dir noch gerne ein paar Fragen zu der Praxis stellen, weil jetzt haben wir dann auch viel theoretisch geredet.

Hey, was wäre der Idealfall? Wie sollte man agieren? Was sind so die Grundvoraussetzungen, nach denen man denken sollte? Wie schaut das dann aber in der Praxis aus? Weil du hast ja noch erwähnt, okay, es wäre ganz gut mal mit einem Tag an Beratung anzufangen, wo man einfach die Informationen bekommt, was man alles machen kann, wo man die Denkanstöße bekommt, was sind dann jetzt so meine Sicherheitsrisiken, die ich als Unternehmen, als Dienstleister eigentlich darstelle? Und ist das der einzige Weg, mit dem man anfangen soll? Oder wie kann man überhaupt bei sich selbst, als die Person, die die Dienstleistung anbietet, dann noch das eigene Risk Assessment machen? Weil oft, wenn man etwas nicht weiß oder wenn man etwas nicht sieht, dann kann man es auch nicht wissen oder sehen, deswegen ist es dann auch immer gut, Input von außen zu bekommen.

Aber wie wären dann die first steps, um in die Richtung sich zu bewegen, wenn man das noch nicht gemacht hat? Also generell ist jede Aktivität in diese Richtung, jede Überlegung in diese Richtung und jede Diskussion in diese Richtung Goldes Wehr.

Also man muss sich mit Dingen beschäftigen, um Dinge dann wirklich zu verstehen und dann auch wirklich zu implementieren.

An sich ist der erste wichtigste Schritt der, dass man sich eben auseinandersetzt und wenn du zum Beispiel diese DIN-Norm ansprichst, die 27076, die ist gratis zum Runterladen.

Also im Gegensatz zur ISO 27001, die leider, keine Ahnung warum die ISO das macht, aber leider ein paar Franken kostet, kann man die DIN-Spec 27076 gratis runterladen, das sind gute 30 Seiten, inklusive dem Anhang mit den Fragen und inklusive der gesamten Prozessbeschreibung.

Wenn man sich das durchlesen will, dann hat man auf alle Fälle schon was dazu gewonnen, das jedenfalls.

An sich ist aber die langjährige Erfahrung von einem Cybersecurity-Berater goldes Wert.

Das heißt, die Fragen, die gestellt werden, die Antworten, die man sich dann selber gibt, da steht man dann an.

Das ist der weiße Fleck, den man dann vor den Augen hat und sagt, ja super, ich bin ja gut beieinander.

Ist dann zum Teil auch so, aber ist es zum Teil halt überhaupt nicht so.

Weil wenn die Frage gestellt wird, machst du regelmäßig Backups? Ja, passt, mache ich.

Ein Punkt.

Dann ist es womöglich gar nicht richtig, weil man ja dann hinterfragen könnte, wo speicherst du die Backups, wie du zuerst richtig gesagt hast oder mich auch erwähnt hast.

Machst du ein Image vom gesamten System und spielst du dann den Virus wieder zurück, wenn irgendwas passiert? Da steckt einfach mehr dahinter.

Also um sich zu informieren, ist die DIN-Spec fast zu trocken aus meiner Sicht.

Ich habe dazu auch einen kurzen Artikel geschrieben, praktisch mit dem Titel maximale Cybersicherheit, minimaler Aufwand, weil mit einem Manntag an Beratung, weil die DIN-Norm hat auch das normiert.

Die schreiben rein, du darfst zwei bis vier Stunden oder so Beratungsgespräch direkt mit dem Kunden, mit dieser Analyse, und dann hat der Berater noch mal einen halben Tag ungefähr, um den Bericht zu schreiben und noch mal eine Stunde oder so, um das Ergebnis zu präsentieren.

Das ist es dann, das ist so festgelegt und ich denke auch, wenn man in Österreich einen Berater hat, der sich daran hält, weil das Punktesystem, was dann dort quasi deinen Sicherheitslevel darstellt, sollte ja vergleichbar sein.

Wenn man einen österreichischen Berater nimmt, dann würde der sich sicherlich auch daran halten und auch jetzt nicht mehrere Manntage hineinstecken.

Ein Risk Assessment für die 27001, also nach 27005 ist sonst etwas, was schon ein Prozess ist und nicht eine Fragestunde.

Aber für Klein- und Kleinstunternehmen ist das sehr wohl genügend und wie gesagt, Also allein durch die Diskussion, durch dieses Frage-Antwort-Spiel versteht man sehr, sehr schnell, auf was es ankommt.

Und das Ergebnis gibt dann eben auch, wie auch zuerst schon erwähnt, das Ergebnis gibt dann auch Vorschläge, wie du dich in der nächsten Zeit verhalten solltest, also welche Maßnahmen du ergreifen könntest.

Es gibt keine Pflichten, etwas zu verbessern, Aber was du machen kannst, ist jedenfalls nach einem Jahr noch ein nochmaliges Assessment und dann schauen, was ein Externer zu deinen Maßnahmen sagt.

Also insofern ist das wirklich ein Gewinn für Unternehmen, die halt zu klein sind für eine ISO 27001 oder so vergleichbar.

Und wenn man das Thema jetzt konkreter angehen will und das dann auch wirklich so umsetzt, damit das auch von der Sicht eines externen Beraters da noch passt und sich da wirklich laufend damit beschäftigt und auch diese Qualität aufrechterhalten kann, kann man sich da irgendwie selbst dann noch zertifizieren lassen? Weil viele Unternehmen machen das jetzt zum Beispiel mit der 27001 ISO-Zertifizierung.

Gibt es dann zum Beispiel eine Zertifizierung oder ist das die gleiche Zertifizierung, die ich dann zum Beispiel als Dienstleister machen kann, um dann meinen Kunden noch stärker zu präsentieren, ich nehme die Sache wirklich ernst, kann man da irgendwas in die Richtung machen oder gibt es dann so kein, ich sage jetzt mal, Siegel, welches man sich dann auf die Webseite klatschen kann, so ganz grob gesagt? An sich kann man ein Siegel auf die Webseite klatschen, allerdings kann man keine Zertifizierung machen.

Also man kann auf die Website ja an sich einmal draufschreiben, was man will.

Man muss es dann halt nur wirklich machen.

Und wenn man auf die Website draufschreibt, ich habe ein Risk Assessment nach der DIN-SPEC 27076 gemacht, dann kann man das ohne weiteres auf die Website draufschreiben.

Aber es gibt keine Zertifizierung in dem Sinne.

In Deutschland ist es jetzt noch ein bisschen anders.

Da gibt es sogar Schulungen für Beratungsunternehmen, die an Beratung nach dieser Norm anbieten, dass die Ergebnisse möglichst vergleichbar sind.

Weil wenn ein Beratungsunternehmen ein Unternehmen beratet, das hat dann einen gewissen Punktestand, weil die Fragen werden dann beantwortet und wenn sie positiv beantwortet werden, kriegt man Punkte und wenn sie nicht genügend erfüllt sind, gibt es entweder keinen Punkt oder sogar Minuspunkte und am Schluss kommt dann ein Zahlenwert raus und wenn ein Beratungsunternehmen ein Unternehmen berät und ein anderes Beratungsunternehmen ein anderes Unternehmen berät, kommt ja dieses wunderschön genormte Dokument raus mit praktisch einem Wert und dieser Wert soll vergleichbar sein und aus dem Grund hat die BSI in Deutschland das auch eingeführt, dass Beratungsunternehmen geschult werden, dass sie das auch durchführen können.

Das gibt es jetzt in Österreich nicht, Es macht auch aus meiner Sicht keinen Sinn, ein deutsches, geschultes Unternehmen zu nutzen, um das durchzuführen.

Da würde ich sehr wohl am österreichischen Markt bleiben, zumal man jetzt nicht nur denselben Dialekt spricht, sondern im Idealfall face-to-face zusammensitzt und alleine die Anreise eines deutschen Beraters nach Österreich macht keinen Sinn.

Aber man sollte natürlich schauen, dass man ein Unternehmen wählt, ein Beratungsunternehmen wählt, das wirklich eine Ahnung hat.

Und wenn man zum Beispiel dann schreibt, ich habe ein Risiko Assessment gemacht nach dieser Norm, mit dem Unternehmen, dann hat das einen Wert.

Und ich würde es auf alle Fälle auch auf die Webseite schreiben, auch wenn man Mitglied von etwas ist, schreibt man es auf die Webseite, auch wenn man dafür kein Zertifikat hat.

Was bei der ISO 27001 sehr unique ist, dass eben deswegen bis zum Zertifikat gemacht worden ist, dass sich die großen Unternehmen dann auch, um sicherzustellen, dass ihre Lieferanten, auch die größeren Lieferanten dann, gewisse Maßnahmen einhalten, können die sagen, wenn ihr ISO 27001 zertifiziert seid, dann genügt uns das.

Wir brauchen euch gar nicht überprüfen, wir brauchen dort gar kein Assessment machen oder aber wir machen nur ein sehr kleines Assessment.

Ein paar Sachen wollen wir schon gerne wissen, da kommen Leute jetzt zu euch, die befragen euch ein bisschen und das ist es dann.

Oder eben man sagt die TÜV hat mich ISO 27001 zertifiziert und die Institute, die praktisch so eine Zertifizierung machen dürfen, die sind auch zertifiziert.

Also die dürfen das dann auch wirklich machen, dürfen Zertifikate ausstellen und somit ist die sichergestellt.

Bei Klein- und Kleinstunternehmen gibt es das nicht und was man eben machen kann, ist trotzdem so ein Assessment und das Ergebnis kann man ja ohne weiteres auch vorzeigen, wenigstens bis zu einem gewissen Grad.

Man muss ja nicht alle Risiken und alle Maßnahmen darstellen, aber solche Sachen oder solche Informationen laufen ohnehin sehr stark unter NDA, also auf eine Website.

Natürlich nicht, aber auch bei einem Assessment kann man das ohne weiteres dann noch eventuell zeigen und gemeinsam durcharbeiten.

Und dann zeigt man, dass man sich damit beschäftigt.

Und das ist viel, viel mehr, als leider viel zu viele Unternehmen machen.

Und bevor dann jetzt zum Beispiel jemand da zuhört oder zuschaut und dann anfängt langsam die Existenz der eigenen Dienstleistung zu bezweifeln, da würde ich auf jeden Fall raten, weil wir werden alles unten verlinken, in der Beschreibung, also das, was du gesagt hast, man kann sich ja die DIN-Spec 27076 einfach runterladen, wo man dann einfach anfangen kann, darüber zu lesen, was fließt da alles mit rein.

Ich werde dann auch deine Webseite mit dem Blog, mit dem Blogartikel auch zum Beispiel über WordPress-Sicherheit, welcher sehr ausführlich ist, dann auch verlinken.

Das heißt, das sind alles dann gute Ressourcen, um mal anzufangen, sich darüber zu informieren und falls irgendwer sagt, okay, ich würde jetzt gerne mich beraten lassen, kann sich die Person dann einfach bei dir melden oder arbeitest du dann einfach mit Leuten zusammen, die das dann übernehmen? An sich ist es am einfachsten, sich bei mir zu melden oder beim Security-Berater des Vertrauens zu melden.

Es gibt sehr viele Sicherheitsunternehmen, die wirklich sehr kompetent sind, die auch dieses Thema schon aufgegriffen haben in Österreich und insofern einfach private Nachrichten über LinkedIn Kein Thema.

Passt, wir würden uns dann nämlich langsam dem Ende der Episode nähern.

Hättest du dann noch ein Thema, welches für dich wichtig ist, was wir vielleicht noch nicht so angesprochen haben, was du gerne an die Zuschauerinnen und Zuschauer weitergeben möchtest? Informationssicherheit hat für mich einen sehr, sehr hohen Stellenwert bekommen, weil, wie ich schon vorher erwähnt habe, die IT ist dann fertig, wenn alles funktioniert und Unternehmen wenden das dann an und freuen sich darüber, dass das alles funktioniert und sind dann ganz verblüfft, dass einiges dann doch nicht funktioniert.

Dinge gehören bis zum Ende gedacht, Dienstleister sollen bis zum Ende denken und auch bis zum Ende liefern und das ist auch aus meiner Sicht ein sehr wichtiges Finding in der Cybersecurity-Welt, dass man wirklich daran denkt, dass man Dinge auch macht und dass die Awareness bis ganz nach oben, bis zur Geschäftsführung hinauf propagiert wird, weil von oben fängt Cybersecurity an, weil es Geld kostet.

Herwart, es war finde ich eine mega informative und sehr coole Episode, die wir jetzt aufgenommen haben.

Am Ende stehe ich dann auch immer noch so drei Bullet-Fragen.

Das heißt, sag einfach das Erste, was dir einfällt.

Und dann gehen wir gleich zu der nächsten Frage weiter.

Die erste Frage wäre, wenn es Cybersecurity und IT-Security und all das, was wir jetzt besprochen haben, nicht gäbe, was wäre dein Alternativberuf? Also dadurch, dass ich in der Technik bin, würde ich wahrscheinlich Programmierer sein.

Okay.

In Bezug auf WordPress jetzt, was ist das nervigste WordPress-Feature? Das Fehlen eher von gewissen Funktionen als Basis.

Also zum Beispiel Kopieren von Beiträgen und solchen Sachen? Naja, der Cookie-Banner.

Ich verstehe nicht, warum man für Cookie-Banners zahlen muss.

Das stimmt, so habe ich an das eigentlich noch nie gedacht.

Am anderen Spektrum, was war dein letzter Aha-Moment mit WordPress, wo du überrascht warst, dass WordPress das auch kann? Also mein Aha, der letzte große Aha-Moment von WordPress war der, wie mir mein Sohn Elementor gezeigt hat, weil ich habe davor immer mit Themes und so weiter gearbeitet und das war sehr kompliziert und in der Wartung sehr kompliziert und aufwendig und seit ich Elementor kenne, habe ich alle Webseiten auf Elementor umgestellt und das ist ein riesiges Aha-Erlebnis gewesen, dass man schöne Webseiten macht ohne Theme.

Na gut, gibt es noch irgendeine finale Message, die du gerne an die Zuschauer und Zuschauerinnen oder Zuhörer und Zuhörerinnen weitergeben möchtest? Das ist gemein, ich habe mir nichts überlegt.

Eine finale Message.

Achso, ja, ich habe vielleicht eine Idee.

Ich würde sagen, beschäftigt euch mit zwei Dingen in der nahen Zukunft.

Beschäftigt euch mit Cybersecurity ins Portfolio hinein und beschäftigt euch mit künstlicher Intelligenz.

Sehr cool.

Dann, wie gesagt, das wird alles unten verlinkt sein, auch Kontaktdaten zu dir, zu deiner Webseite, wo sich die Leute dann bei dir melden können, auch die Ressourcen, über die wir gesprochen haben im Laufe des Gesprächs.

Und ja, Herwart, vielen Dank für deine Zeit.

Hat mich sehr gefreut, dass wir uns heute über Security unterhalten konnten.

Ein Thema, was wir eigentlich am Podcast zu selten behandeln, leider.

Aber mega cool.

Danke, dass du mich auf die Themen aufmerksam gemacht hast, auf die Gesetzeslagen, die dann auf uns zukommen werden.

Und ja, ich hoffe, dass das an so viele Leute weiter verbreitet wird, die Information, damit wir dann allgemein in einer sicheren Welt leben können, was zumindest die Technik angeht.

Danke Dominik für die Einladung.

.