00:00:00: Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus Meffert und Stephan Plesnik.

00:00:12: Ja, hallo und herzlich willkommen zum Datenschutz Deluxe Podcast. Ich bin natürlich Stephan Plesnik und bei mir ist Klaus Meffert. Klaus, ich grüße dich. Wie geht es dir?

00:00:22: Ja, Stephan, hallo. Mir geht es auch wieder gut. Ich würde mit deinen Worten mal sagen, alles tutti, hast du beim letzten Mal ja gesagt.

00:00:29: Vielleicht für den Zuhörer, wir haben uns jetzt eben auch nochmal auf ein Thema spontan geeinigt und ich finde es auch sehr gut, dass wir da spontan einsteigen.

00:00:38: So ist es natürlicher und jeder kann vielleicht unsere Gedankengänge nachvollziehen. Manchmal fehlt vielleicht ein bisschen Hintergrundwissen,

00:00:44: aber ich denke, mit dem, was wir haben, können wir sehr gut und kompetent drüber sprechen und ich bin sicher, du wirst uns jetzt auch verraten, worum es geht.

00:00:51: Ja, ich bin auch mal sehr gespannt, denn was mich eigentlich auf die Idee des Themas gewandelt, die Idee des Themas ist Sicherheit in Unternehmen,

00:01:02: beziehungsweise Datensicherheit, eben auch das Wahren von Privatsphäre, das Schützen personenbezogener Daten, wo wir dann wieder in der Datenschutzrechtsthematik ankommen.

00:01:10: Allgemein, weil ich gefühlt jeden Tag in irgendeinem meiner Social Media Accounts irgendetwas präsentiert bekomme,

00:01:19: dass wieder irgendein Unternehmen es wieder irgendwie hingekriegt hat, gehackt zu werden, dass wieder Daten abgeflossen sind, wo sie nicht sollten.

00:01:27: Und was ich dabei am spannendsten finde, ist, es wird dann immer darüber geredet, die Unternehmen versichern dann, dass sie ihre Systeme sicherer gestalten und so weiter,

00:01:35: dass sie die Sicherheitslücken schließen werden. Die größte Sicherheitslücke bei diesen Dingen, die immer, immer, immer wieder auftaucht,

00:01:42: ist, dass am Ende irgendein Mitarbeiter auf irgendeinen Link in irgendeiner E-Mail geklickt hat oder in irgendeiner SMS-Nachricht oder WhatsApp-Nachricht

00:01:50: und damit dann Chartcode ins Unternehmen einschleust und ein Virus als Ransomware irgendwie Daten verschlüsselt oder irgendwie sowas.

00:01:58: Egal, wie jetzt das Ausmaß ist, die Frage, die ich mir dabei stelle, ist, wie genau läuft eigentlich so ein Prozess in so einem Unternehmen ab,

00:02:07: wenn die dann so eine Sicherheitslücke haben? Weil ich habe das Gefühl, es wird ein bisschen wenig auf die Sensibilisierung der Mitarbeiter

00:02:14: beziehungsweise auf das Know-how im Umgang mit Technologie der Mitarbeiter geachtet. Wie empfindest du das?

00:02:20: Ja, also es kommt, glaube ich, darauf an, über welche Art von Sicherheitslücken wir reden.

00:02:23: Du hattest ja schon gesagt, diese E-Mail-Geschichte, also Phishing-Attacken heißt das ja oder Spare-Phishing.

00:02:28: Das heißt, man versucht beispielsweise für einen Mitarbeiter was herauszufinden.

00:02:32: Viele breiten ja auch ihr Leben in sozialen Medien aus, auch in Business-Netzwerken wird ja auch alles geschrieben,

00:02:38: was zu sagen ist, bis hin zur eigenen Körpergröße und wer dann der Chef ist und so weiter, kann man vielleicht auch danach lesen.

00:02:45: Und dann kann ich jemandem eine Mail schicken und sagen, hier, ich bin der Chef, du mir geben 5.000 Euro vom Firmenkonto auf mein Privatkonto.

00:02:53: Und schon macht der Mitarbeiter. Das ist natürlich jetzt leicht übertrieben dargestellt, aber so funktioniert es.

00:02:58: Und es gibt auch tatsächlich Fälle, es reicht ja, wenn einer von 500, naja 500 vielleicht nicht, aber einer von 100 Fällen erfolgreich ist

00:03:05: und man das vielleicht sogar automatisieren kann, dieses Spare-Phishing.

00:03:09: Absolut.

00:03:10: Also da würde ich sagen, ist natürlich Mitarbeiter Sensibilisierung ein sehr großer und wichtiger Punkt.

00:03:14: Das Problem kann man übrigens auch relativ leicht lösen, wenn es um diese internen Mails geht.

00:03:20: Also es ist ja eine interne Mail, wenn ein Chef mir, also zumindest was fachliche Zuordnung angeht,

00:03:26: im Unternehmen selbst findet eine Kommunikation statt.

00:03:29: Ob das jetzt vom Privatrechner des Chefs aus zu meinem privaten Rechner ist und es geht um Firmensachen

00:03:35: oder ob es im Firmennetzwerk ist und es geht um Firmensachen, ist ja erstmal zweitrangig.

00:03:39: Es geht um Firmenangelegenheiten.

00:03:41: Und da kenne ich zum Beispiel eine Firma, die hat gesagt, wir schreiben uns jetzt intern überhaupt gar keine Mails mehr.

00:03:47: Wir brauchen das nicht, sondern wir verwenden jetzt ein System, in dem wir uns Nachrichten schicken können.

00:03:54: Das sind aber keine E-Mails.

00:03:55: Ist ja auch irgendwie logisch, dass das so sinnvoll sein kann, weil man ja den Weg kennt, den man beschreiten muss,

00:04:03: um die Nachricht zu übermitteln.

00:04:04: Das ist nämlich das eigene Netzwerk.

00:04:05: Da muss ich keinen Mail selber von einem Dritten verwenden dafür, um die ganze Welt schicken sozusagen,

00:04:09: um es von Schreibtisch A zu Schreibtisch B zu schicken im selben Unternehmen.

00:04:12: Also das kann man durch Mitarbeiter Sensibilisierung lösen oder auch durch technische Lösungen,

00:04:16: wie ich es eben gesagt habe, komplett entschärfen, diese Phishing-Attacken zumindest.

00:04:21: Was man aber dann durch Mitarbeiter Sensibilisierung weniger entschärfen kann,

00:04:26: sind Dinge wie Sicherheitslücken durch veraltete Softwarestände auf dem Webserver zum Beispiel.

00:04:31: Da muss man schon andere Ansätze verwenden.

00:04:35: Ja, da kommt ja dann auch immer wieder diese Thematik, wenn halt alle dasselbe nutzen,

00:04:40: ist ja Thema Microsoft, eine Exchange-Server und so weiter, und dafür eine Schwachstelle bekannt ist,

00:04:47: dann ist natürlich auch das Angriffsrisiko viel größer, weil natürlich ein Hacker,

00:04:53: der sagt, wie du gerade sagtest, einer von 500 öffnet das, und ich habe dann den Umsatz gemacht.

00:04:58: Wenn ich das automatisieren kann, wenn ich weiß, dass es 20 Millionen Exchange-Server auf der Welt gibt

00:05:03: bei irgendwelchen Firmen verteilt, dann habe ich natürlich einen riesen Fundus,

00:05:06: den ich abgraben kann, um für mich selber eben auch schneller Profit aus so einer Hacker-Attacke zu schlagen.

00:05:13: Was du zu der Sensibilisierung meintest, fand ich sehr interessant.

00:05:16: Ich hatte da nämlich jetzt gerade aktuell einen Fall bei einem Unternehmen, da wurde mir quasi zurückgeschrieben,

00:05:22: ja, entschuldigen Sie, dass ich bestimmte Dinge noch nicht beantwortet habe aus der letzten Mail.

00:05:27: Die ist bei mir im Spam-Ordner gelandet, automatisch, weil sie von einer externen Domain kommt und Links enthält.

00:05:35: Da war ein Link zu einem Dokument drin, das halt beachtet werden musste, mit dem die Person arbeiten musste.

00:05:42: Und da habe ich dann gedacht, da haben wir zum Beispiel so einen Fall, genau wie du gerade beschrieben hast,

00:05:47: da ist systemisch irgendwas entschieden worden, und man hat gesagt, okay, automatisch werden Links von externen Domains,

00:05:53: die E-Mails mit Links von externen Domains, werden erstmal als Spam weggelegt.

00:06:00: Jetzt ist aber die Frage, wer sieht die denn dann?

00:06:03: Sieht nämlich keiner. Wenn ich nach zwei Wochen nachfrage, heißt es, ich habe mal nachgeguckt,

00:06:06: und jetzt habe ich die erst gesehen. Das heißt, es kommt keine Info zustande, keine Rückmeldung,

00:06:10: dass da etwas in Spam gelegt wurde. Dadurch können dann Informationen verloren gehen,

00:06:14: wo man ja auch die Mitarbeiter hätte schulen können und nicht sagen können, ich baue eine Sperre ein

00:06:20: und lasse die Mitarbeiter weiter dumm sein und damit so umgehen, wie sie das normalerweise gewöhnt sind,

00:06:25: sondern sagen, ich investiere lieber darin, dass meine Mitarbeiter wissen,

00:06:29: ey, ich muss bei Links in E-Mails vorsichtig sein, ich muss gucken können,

00:06:33: was steht in der Header-Information der E-Mail drin, ist das wirklich ein seriöser Absender?

00:06:37: Ist mir der Absender vielleicht persönlich bekannt, auch wenn mein System den noch nicht kennt?

00:06:42: Irgendwie solche Geschichten, denke ich, sind in der Sensibilisierung im Umgang am Arbeitsplatz

00:06:48: viel, viel essentieller und wichtiger als immer nur zu sagen, ja gut, da ist etwas schiefgegangen,

00:06:54: jetzt schließen wir eine Sicherheitslücke und dann ist alles wieder okay.

00:06:57: Also die Technik, ich glaube, viele verlassen sich auf Technik, so fühlt sich das an.

00:07:02: Jaja, also du hast natürlich recht, ich glaube, man kann jeden Mitarbeiter, egal wie alt er ist,

00:07:06: weil viele, die kurz vor der Rente sind, sagen, ich will jetzt nichts Aufregendes mehr lernen sozusagen,

00:07:10: das, was ich weiß, das bleibt auch so.

00:07:12: Aber ich glaube, so eine Schulung, die du ansprichst, wie man verdächtige E-Mails erkennt

00:07:17: oder wie man E-Mails überhaupt erst mal untersucht, die kann jeder vertragen

00:07:20: und die ist auch jetzt nicht so, dass man Informatik studiert haben muss oder Hacker sein muss,

00:07:24: um das wirklich nachzuvollziehen, das kann man, glaube ich, mit sehr einfachen Mitteln,

00:07:27: du hast ja auch teilweise schon gesagt, prüfen.

00:07:29: Ich kenne zum Beispiel allerdings auch ein Unternehmen, was zusätzlich noch was anderes macht.

00:07:34: Du hast ja davon gesprochen, dass Spam-Mails dann teilweise im Nirvana verschwinden

00:07:38: und keiner sieht sie mehr sozusagen.

00:07:40: Das ist natürlich ein Problem, das hatte ich auch schon bei mir

00:07:42: und dann hat der andere mich nach zwei Wochen gefragt, was ist denn jetzt?

00:07:45: Und da sage ich, Entschuldigung, ich habe ja die Mail gar nicht gesehen

00:07:48: oder ich habe es zufällig selbst gesehen, aber erst nach zwei Wochen,

00:07:50: dann war mir dann etwas peinlich, wobei ich ja gar nichts dafür konnte

00:07:53: und es war vielleicht wegen einem fehlerhaften Spam-Filter von mir übrigens in dem Fall.

00:07:57: Aber ein Unternehmen, ein größeres, was ich kenne, 250.000 Mitarbeiter,

00:08:01: für die ich auch schon tätig war, die haben folgendes gemacht,

00:08:04: die schicken einmal am Tag eine Zusammenfassungs-Mail an den Mitarbeiter,

00:08:09: wenn er Spam-Mails bekommen hat oder die als Spam klassifiziert wurden.

00:08:13: Und da ist in einer Liste sozusagen die Mail mit dem groben Inhalt usw. wiedergegeben

00:08:20: und dann kann der Mitarbeiter sich das anschauen,

00:08:22: ich sage jetzt mal in einem geschützten Bereich, also ohne dass irgendwas nachgeladen wird,

00:08:25: ohne dass er irgendwo draufklicken kann und kann dann sagen,

00:08:28: ja, das ist Spam oder das ist kein Spam.

00:08:30: Das heißt, das ist so ein Mittelding, die Spam-Mails gehen nicht verloren

00:08:34: und er kann das, was irrtümlich als Spam klassifiziert wurde,

00:08:37: aus fachlicher Sicht zumindest, kann er dann zurückholen in seinen Posteingang.

00:08:41: Das finde ich den besten Weg, der allerdings jetzt auch nicht jedem zur Verfügung steht.

00:08:45: Trotzdem, zusätzlich würde ich sagen, dass das, was du sagst, sinnvoll ist,

00:08:48: nämlich eine Mitarbeiterschulung.

00:08:50: Man muss einfach ein bisschen Geld investieren, das kann ja auch eine Online-Schulung sein,

00:08:53: die ist auch jetzt nicht wirklich so teuer, dass man davon sprechen muss.

00:08:56: Man muss ein Sparkonto plündern, damit der Mitarbeiter jetzt besser ist

00:08:59: und dann sollte man natürlich, da würdest du mir wahrscheinlich zustimmen,

00:09:02: dem Mitarbeiter alle zwei, drei Monate nachschulen,

00:09:05: damit er dann, weil wir kennen das ja beide, man lernt irgendwas

00:09:09: oder man hat einen Autounfall gebaut und fährt dann ganz, ganz vorsichtig

00:09:13: die nächsten sechs Monate und danach fährt man wieder normal.

00:09:16: Also man muss sich irgendwie auffrischen sozusagen, wieder neu sensibilisieren lassen.

00:09:23: Ja, das finde ich total gut, dass du das ansprichst,

00:09:26: auch diese Sensibilisierung, dass man die regelmäßig durchführt.

00:09:29: Wir vergessen ja immer, wie Gewohnheiten entstehen.

00:09:32: Und gerade, wenn ich so was habe wie eine E-Mail-Bearbeitung,

00:09:35: das ist ja ganz schnell eine Gewohnheit, da bin ich ja total drin.

00:09:38: Die habe ich ja seit Jahren.

00:09:40: Die Leute kommen morgens zum Arbeitsplatz,

00:09:42: die machen ein E-Mail-Programm auf, checken ihre Mails.

00:09:45: Die kriegen ja gar nicht mit, was da für Prozesse sich im Hintergrund

00:09:49: und in dem großen Weiten des Internets und der weiten Welt verändern,

00:09:53: die sie vielleicht heute bedrohen.

00:09:55: Und wenn man sich nicht wie wir, weil das jetzt unser Fachthema ist

00:09:58: und wir das gerne tun und das interessant finden,

00:10:00: regelmäßig damit beschäftigt,

00:10:02: dann habe ich ja auch so gar nicht die Grundvoraussetzung geschaffen,

00:10:07: dass dieser Gedankengang überhaupt angeht.

00:10:09: Huch, ich könnte bedroht sein.

00:10:11: Huch, das könnte etwas sein, das vielleicht mir eine Information entlocken soll,

00:10:16: die mir gar nicht entlockt werden sollte.

00:10:18: Oder das ist ein Eindringling.

00:10:20: Irgendwie solche Geschichten.

00:10:22: Und ich glaube, das ist auch etwas,

00:10:24: was gerade bei den Sensibilisierungen viel zu häufig vernachlässigt wird,

00:10:30: das Überprüfen der Umsetzung in der Praxis.

00:10:33: Also nicht nur zu sagen, so geht das und so könnt ihr das machen

00:10:36: in so einer Frontalschulung, sondern dieses Rückprüfen.

00:10:40: Wie geht ihr denn in den nächsten Tagen am Arbeitsplatz damit um?

00:10:43: Wie ist es euch in den letzten zwei Wochen, in den letzten Monaten,

00:10:46: in den letzten drei Monaten ergangen?

00:10:48: Hat sich etwas an eurer Art und Weise im Umgang mit Informationen

00:10:51: und der Wahrnehmung dieser Informationen auch verändert?

00:10:54: Was habt ihr daraus gelernt?

00:10:56: Ich finde auch diese Frage unglaublich essentiell wichtig,

00:10:59: wenn es darum geht, Menschen zu sensibilisieren,

00:11:02: die Frage zu stellen, was hast du denn da eigentlich mitgenommen

00:11:05: und daraus gelernt?

00:11:07: Weil dann weiß ich ja auch erst, was dieser Mensch verinnerlicht hat,

00:11:10: wie er in Zukunft unter Umständen seine Gewohnheiten ändern möchte,

00:11:14: auch wenn das im ersten Schritt halt nicht so schnell geht,

00:11:17: weil wir Menschen sind halt sehr träge.

00:11:19: Ja, ja, stimmt. Also mir ist da noch eine Sache eingefallen.

00:11:22: Wir hatten ja auch schon letztes Mal das Thema Künstliche Intelligenz

00:11:25: und ich hatte ja diesmal auch schon fast wieder den Vorschlag,

00:11:28: weil es uns am Hand heiß ist und auch nicht mehr ein Hype ist,

00:11:31: sondern jetzt wirklich eine Revolution mit den Möglichkeiten.

00:11:34: Es wird natürlich immer wahrscheinlicher,

00:11:36: dass durch Künstliche Intelligenz diese Phishing-Mails geschrieben werden.

00:11:40: Bisher, wir kennen es ja beide und die Zuhörer wahrscheinlich auch,

00:11:43: die Mails sind meistens extrem schlecht, was die Grammatik angeht.

00:11:46: Ein einzelnes Wort reicht schon, um das Ding als Betrug zu entlarven.

00:11:50: Das wird zukünftig nicht mehr so möglich sein.

00:11:53: Der thailändische Hacker kann jetzt auch sehr leicht

00:11:56: eine perfekt deutsch formulierte Mail rausschicken,

00:12:00: indem er einfach eine KI verwendet dafür.

00:12:02: Das ist möglich zukünftig und da steigt natürlich die Bedrohungskulisse.

00:12:06: Wir haben da alle mehr Arbeit.

00:12:08: Man könnte natürlich auch eine Künstliche Intelligenz einsetzen,

00:12:11: um die Schulung etwas zu verbessern, weil zum einen ist natürlich wichtig,

00:12:14: dass man individualisiert erstellte Videos oder vielleicht auch allgemeine Videos,

00:12:18: die aber der Mensch erstellen muss, als Schulung verwendet.

00:12:21: Und zum anderen könnte man das natürlich ergänzen

00:12:23: durch sozusagen automatisierte Tests,

00:12:26: beispielsweise E-Mails, die auch das Unternehmensvokabular widerspiegeln.

00:12:32: Das ist ja auch wichtig.

00:12:33: Da kann man natürlich immer bezahlen, der das macht.

00:12:35: Wenn die Firma das möchte, kriegt sie auch das bestmögliche Ergebnis.

00:12:39: Aber die Firmen, die eben nicht das Geld investieren wollen,

00:12:42: jemanden dafür auch noch zu bezahlen, wenn er ihnen schon die Schulung gegeben hat

00:12:45: für die E-Mail-Sensibilisierung zum Beispiel,

00:12:48: der könnte dann vielleicht sehr günstig auch was anbieten,

00:12:51: automatisiert diese Sparephishing-Mails rauszuschicken,

00:12:54: damit das Unternehmen dann eine Sensibilisierung bekommt

00:12:57: und sozusagen nachtest dessen, was der Mitarbeiter gelernt hat.

00:13:02: Du meinst quasi so eine Art Penetration-Testing

00:13:04: auf Mitarbeitersensibilisierungsebene im Nachgang zu der Schulung,

00:13:08: als Verstärkung des Effekts,

00:13:10: damit man so eine Art Stichprobenkontrolle machen kann

00:13:14: und sehen kann, wer fällt noch drauf rein,

00:13:17: weil es schon sehr authentisch ist.

00:13:19: Und das durch KI zu stützen, weil die KI einem helfen kann,

00:13:22: die kann aus 15 E-Mails vom Unternehmen lernen,

00:13:25: wie wirkt die Unternehmenskommunikation.

00:13:27: Dann schreibt die in dieser Unternehmenskommunikation

00:13:30: irgendeine fiktive E-Mail.

00:13:31: Da packt man einen Link dran mit einem Virus

00:13:33: und guckt, wie viele Leute klicken drauf.

00:13:35: Aber der Virus ist halt contained, weil es ein Test ist.

00:13:37: Versteh ich dich richtig.

00:13:38: Genau so kann man es sehen.

00:13:40: Mir fällt da noch ein sehr wahrscheinliches Szenario ein,

00:13:43: weil typischerweise sind Hacker,

00:13:45: die deutsche Unternehmen angreifen, nicht aus Deutschland.

00:13:48: Das hat einfach rechtliche Gründe.

00:13:50: Wenn ich Hacker wäre, würde ich mir ein Opfer im Ausland suchen,

00:13:53: weil die Rechtsverfolgung schwieriger ist.

00:13:55: In Deutschland würde ich sofort die Polizei vor der Tür stehen haben,

00:13:58: weil die sehen, wo mein Anschluss ist.

00:14:00: Das wäre ganz blöd.

00:14:02: Auch ein Internetcafé,

00:14:03: da könnte man eine Videokamera auswerten usw.

00:14:07: Aber was natürlich Hacker machen,

00:14:09: sie greifen beispielsweise deutsche Unternehmen an,

00:14:12: sie kommen dann in das Postfach rein,

00:14:14: können da auch Mails lesen,

00:14:16: die beispielsweise an dich geschickt wurden,

00:14:18: an dein Unternehmen.

00:14:20: Und dann könnte man mit einer KI,

00:14:22: weil diese Hacker ja Ausländer sind und kein Deutsch sprechen,

00:14:25: typischerweise, jedenfalls nicht,

00:14:27: jedenfalls nicht perfekt in der großen Masse,

00:14:29: die können mit einer KI sozusagen aus diesen Mails

00:14:32: eine Mail oder mehrere machen, die sie an Dichtern schicken können,

00:14:35: weil sie ja dann die Sprache aufgenommen haben

00:14:37: der bisherigen Kommunikation.

00:14:38: Die können sie nicht nachbilden ansonsten als Mensch,

00:14:40: weil sie keine Ahnung von der deutschen Sprache haben.

00:14:43: Und mit einer KI kann man das sehr wohl machen.

00:14:45: Das heißt, das Betrugsszenario wird noch viel größer werden.

00:14:48: Ich habe jetzt gestern gelesen,

00:14:50: dass mit künstlich erzeugten Texten

00:14:52: sozusagen Landingpages erstellt wurden,

00:14:56: massenweise Zehntausende,

00:14:58: auf denen Google Ads Werbung zum Beispiel,

00:15:00: also Displaywerbung eingeblendet wurde.

00:15:02: Da haben natürlich die Werbekunden des Google Display-Netzwerks

00:15:05: einen Schaden bekommen,

00:15:07: weil deren Werbung auf Spamseiten gelandet ist,

00:15:09: für die sie dann bezahlt haben für diese Werbung.

00:15:11: Und der Betrüger, der diese Spamseite erstellt hat,

00:15:13: mit einer KI in Sekundenschnelle, der hat das Geld eingestrichen.

00:15:16: Also das war jetzt gestern.

00:15:18: Ich meine, das ist etwas weniger anspruchsvoll

00:15:20: als diese E-Mail-Analyse, aber auch nicht viel.

00:15:22: Das Programm ist im Prinzip dasselbe.

00:15:24: Ich muss halt nur ein anderes Modell reinstecken.

00:15:26: Und das könnte ich nachprogrammieren,

00:15:28: wenn du mich jetzt fragen würdest danach.

00:15:30: Ja, da hast du genau den Punkt.

00:15:32: An der Stelle zeigt sich so ein bisschen für mich persönlich

00:15:35: so dieses Gefühl, was ich das erste Mal hatte,

00:15:37: als ich mit Chats GPT zu tun habe,

00:15:39: habe ich gedacht, ja, das ist eine Riesenchance,

00:15:41: aber da alles, was wir Menschen erschaffen,

00:15:44: ja immer nur widerspiegelt,

00:15:46: was wir Menschen sind,

00:15:48: mit allem Guten und Schlechten,

00:15:50: habe ich mir direkt gedacht,

00:15:52: wir machen daraus die Büchse der Pandora.

00:15:54: Das Erste, was wir Menschen damit machen werden,

00:15:56: ist zu versuchen,

00:15:58: großflächig kriminelle Handlungen durchzuführen.

00:16:01: Und weil du gerade vom Ausland sprachst,

00:16:04: also hier, ich bin Hacker,

00:16:06: das würde ich nicht in meinem eigenen Land machen und so weiter,

00:16:08: alles richtig, so arbeiten die.

00:16:10: Da fiel mir noch ein,

00:16:12: es gibt so einen sehr coolen YouTube-Channel,

00:16:14: den ich mir zwischendurch mal reinfahre,

00:16:16: das ist so ein bisschen Infotainment,

00:16:18: aber auch so ein bisschen mit so einer

00:16:20: Crime-Story-Geschichte dabei.

00:16:22: Und zwar sind das Leute, die gesagt haben,

00:16:24: denen geht das so ziemlich gegen den Zeiger,

00:16:26: dass es so viele Scammer gibt,

00:16:28: wie du gerade beschrieben hast,

00:16:30: die dann irgendwo im Ausland sitzen,

00:16:32: in Thailand, in Indien oder was weiß ich,

00:16:34: und schicken halt diese Mails raus

00:16:36: oder belästigen Leute am Telefon nötigen,

00:16:38: die auf Fake-Webseiten irgendwelche Dinge einzugeben,

00:16:40: gerade alte Menschen und so weiter.

00:16:42: Und die haben sich eben auf die Fahne geschrieben,

00:16:44: herauszufinden, wer die sind

00:16:46: und die plattzumachen.

00:16:48: Diese Scammer.

00:16:50: Und das Interessante, was dann auch für mich

00:16:52: eine wichtige Information war,

00:16:54: wie absolut perfekt organisiert

00:16:56: und großflächig angelegt das ist.

00:16:58: Also das sind richtige Unternehmen,

00:17:00: die in Gebäuden in Indien

00:17:02: ganze Floors,

00:17:04: ganze Etagen,

00:17:06: mehrere Etagen mieten,

00:17:08: wo Leute in Callcenter-ähnlichen

00:17:10: Situationen sitzen,

00:17:12: aber sie machen halt keinen Service

00:17:14: für ein Unternehmen, sondern sie betrügen.

00:17:16: Also das ist ein

00:17:18: perfekt organisiertes

00:17:20: Betrugssystem als Unternehmen

00:17:22: nur in einem fremden Land.

00:17:24: Ja, ja, ja, das stimmt.

00:17:26: Ich denke

00:17:28: immer an diesen Hacker, dieses Bild,

00:17:30: was wir ständig gezeigt bekommen in den Medien von

00:17:32: Hackern, wenn immer das Wort Hacker benutzt wird

00:17:34: in einem Beitrag von den Öffentlich-Rechtlichen,

00:17:36: dann siehst du irgendeine

00:17:38: schattiert ausgegraute Person mit

00:17:40: irgendeinem Gegenlicht an der Laptop-Tastatur.

00:17:42: Wo ich mir so denke,

00:17:44: Leute, wer denkt, dass Hacker so

00:17:46: operierend,

00:17:48: so weit hinter dem Mond?

00:17:50: Also du hast recht, ich kenne jetzt die Zahlen nicht,

00:17:52: also ich vermute mal ganz naiv,

00:17:54: beispielsweise, dass vielleicht die Hälfte

00:17:56: diese Hoodie-Typen sind

00:17:58: und die andere Hälfte sind

00:18:00: professionelle Hacker.

00:18:02: Zu den Hoodie-Typen würde mir jetzt

00:18:04: ein Beispiel einfallen, das heißt jetzt nicht, dass es so viele gibt.

00:18:06: Shiny Flakes, das war ja

00:18:08: ein Einzelner, der hat diese Drogenplattform

00:18:10: aus Deutschland, der hat noch bei seinen Eltern

00:18:12: gewohnt, hat dann im Postfach,

00:18:14: der hat Millionen von Euro

00:18:16: verdient in kürzester Zeit,

00:18:18: der war natürlich ein bisschen clever, der hat technisch was

00:18:20: draufgehabt und so, der hat das im Darknet gemacht,

00:18:22: aber jetzt zu diesen Organisationen, die du

00:18:24: angesprochen hast, diese

00:18:26: Krypto-Trojaner, also die Festplattenverschlüsseln,

00:18:28: wo Lösegeld in Bitcoins

00:18:30: erpresst wird, die arbeiten ja genauso,

00:18:32: ich glaube, der Spiegel oder wer hat es beschrieben,

00:18:34: und zwar haben die dann eine Abteilung,

00:18:36: die sucht die Opfer, der andere,

00:18:38: der guckt, wie viel Geld können wir von dem erpressen,

00:18:40: weil guckt er sich die Umsatzzahlen und so weiter

00:18:42: an, der nächste ist der Verhandler

00:18:44: und da haben sie dann geschrieben, der Verhandler,

00:18:46: der hat auch diese menschlichen Züge gezeigt, ja, hallo,

00:18:48: ich bin Wladimir,

00:18:50: können wir vielleicht, also

00:18:52: Sie können mir jetzt antworten und klären Sie

00:18:54: mal, ob Sie uns so und so viel Geld zahlen können,

00:18:56: aber bitte beachten Sie, ich habe jetzt Weihnachtsferien,

00:18:58: ich würde dann erst

00:19:00: ab dem 28. Dezember wieder

00:19:02: für Sie zur Verfügung stehen für weitere Verhandlungen,

00:19:04: so, und dann haben sie dann, also so,

00:19:06: ja, und entschuldigen Sie, wir sind,

00:19:08: also hat der Opfer dann geschrieben, wir sind

00:19:10: ein kleines deutsches Unternehmen,

00:19:12: haben nicht so viel Umsatz, könnten wir das Lösegeld nicht

00:19:14: von 4 auf 2 Millionen reduzieren,

00:19:16: oder könnten wir nicht sagen, Sie erlassen es uns,

00:19:18: wenn wir positiv über Sie berichten oder so,

00:19:20: ja, ich muss das klären mit dem

00:19:22: Pressemanager von uns

00:19:24: und dann, ja, okay, also Sie

00:19:26: müssten jetzt das und das schreiben über uns

00:19:28: und dann erlassen wir Ihnen das Lösegeld, also

00:19:30: das sind hochprofessionelle Strukturen,

00:19:32: also wirklich wie ein normaler Arbeitsplatz,

00:19:34: wie du gesagt hast,

00:19:36: die gehen da zur Arbeit, so wie jemand

00:19:38: zur Sparkasse geht, wenn er da arbeitet, ja,

00:19:40: die, so, jetzt such dir mal neue Betrugsopfer,

00:19:42: ich erwarte, dass du mindestens 50 heute findest

00:19:44: oder sowas, so.

00:19:46: Ja, ja, genau, wie in anderen Sales

00:19:48: Teams danach geguckt wird, was sind

00:19:50: neue Kunden, wo ist ein neuer Absatzmarkt, wo man

00:19:52: versucht, sich jeden Tag zu übertrumpfen,

00:19:54: versuchen die sich zu übertrumpfen

00:19:56: damit, wen sie betrügen können, also

00:19:58: man macht sich überhaupt keine Vorstellung davon, wie viel

00:20:00: Kriminalität und kriminelle Energie

00:20:02: da organisiert hintersteckt, das ist richtige

00:20:04: Mafia und

00:20:06: wenn wir dann denken, das

00:20:08: sind irgendwelche Hoodie-Typen, die da mal eben

00:20:10: kurz mir eine E-Mail schicken und das ist nur eine

00:20:12: alleine, dann ist das eben auch schon

00:20:14: ja eine sehr starke Verzerrung zum Teil

00:20:16: der Wirklichkeit und sorgt

00:20:18: natürlich auch wieder dafür, wenn ich als

00:20:20: Unbedarfter, der jetzt nicht

00:20:22: großartig vorgebildet ist, der einfach nur

00:20:24: den normalen Office-Job macht, wo man die

00:20:26: Leute nicht betrügt,

00:20:28: der macht sich doch darüber gar keine Gedanken,

00:20:30: der kommt doch gar nicht auf die Idee,

00:20:32: der denkt doch nur, ach ja, das ist halt so eine Spam-Mail,

00:20:34: dass dahinter eine millionenschwere

00:20:36: Maschinerie des Betrugs, die

00:20:38: fett organisiert ist, steckt,

00:20:40: das sind eben so die Dinge, die gehen verloren und ich denke

00:20:42: auch das ist in

00:20:44: mir persönlich, ist das

00:20:46: in Sensibilisierung viel zu wenig vorhanden,

00:20:48: dass man diese Hintergründe mal

00:20:50: erklärt bekommt und diese Zusammenhänge, damit man

00:20:52: so ein bisschen das Gefühl bekommt, okay,

00:20:54: man muss ja jetzt keine Angst schüren

00:20:56: per se, weil man kann sich ja auch

00:20:58: vernünftig dann verhalten, man kann ja

00:21:00: lernen, wie kann ich sowas erkennen und wie kann

00:21:02: ich damit umgehen, das ist ja alles super,

00:21:04: aber zumindest mal so

00:21:06: den Scope für die

00:21:08: Realität so ein bisschen erweitern und sagen,

00:21:10: guck mal, das existiert,

00:21:12: ihr solltet das wissen,

00:21:14: das ist nicht so

00:21:16: wenig, so klein, das ist nicht einfach

00:21:18: nur eine E-Mail im Internet, sondern das ist

00:21:20: ganz schnell eben auch mal ein Identitätsdiebstahl

00:21:22: auf einer ganz, ganz groß angelegten

00:21:24: Fläche,

00:21:26: der auch ja Existenzen bedrohen

00:21:28: kann, also was die

00:21:30: da teilweise machen, ist

00:21:32: richtig perfide, die spionieren die

00:21:34: Kreditkarten und Bankkontozugangsdaten

00:21:36: von den Leuten aus, dann gehen die

00:21:38: da rein, schließen da

00:21:40: Verträge ab mit verschiedenen Dingen,

00:21:42: ändern die Login-Zugänge und so weiter

00:21:44: und die Person kann nichts machen, weil es irgendeine

00:21:46: alte Oma war, die dachte, der Enkel hätte

00:21:48: angerufen, der ein bisschen verschnupft

00:21:50: ist, also es ist

00:21:52: Wahnsinn, was da passiert. Die gehen dann auch über,

00:21:54: manchmal wird ja auch eine

00:21:56: PIN zugeschickt ans Telefon und da gab's

00:21:58: sogar Hacks, die werden dann vorzugsweise

00:22:00: nachts gemacht, wenn die Opfer schlafen, wenn das

00:22:02: Handy dann irgendwas bekommen hat

00:22:04: und man aber nicht darauf reagiert hat, dann kann man

00:22:06: noch einen anderen Übermittlungsweg verwenden und das

00:22:08: funktioniert natürlich am besten, wenn das Opfer schläft,

00:22:10: weil dann kriegt es sich mit, dass da drei WhatsApp kamen,

00:22:12: ich würde übrigens davon abraten,

00:22:14: diese amerikanischen Unternehmen zu nutzen, auch

00:22:16: WhatsApp und so weiter, also als Unternehmen

00:22:18: sowieso nicht, das würde sich für mich

00:22:20: verbieten, ich kenne es von Autowerkstätten,

00:22:22: die das beispielsweise WhatsApp verwenden

00:22:24: für die Terminvereinbarung, weil die Kunden es unbedingt

00:22:26: haben wollen, weiß ich nicht, ob das

00:22:28: so unbedingt eminent ist, man kann es

00:22:30: ja sicherlich auch per SMS machen,

00:22:32: bei einer Reparaturmeldung,

00:22:34: da muss man jetzt nicht einen Roman schreiben, da reicht's

00:22:36: auch, Auto ist fertig oder sowas,

00:22:38: Sie können es abholen, da muss man jetzt auch keinen

00:22:40: Chat aufmachen oder sowas mit Smileys

00:22:42: und dann weitergedacht,

00:22:44: ich meine diese eine Sache mit der Mitarbeiterschulung,

00:22:46: Sensibilisierung, die immer wieder stattfinden sollte,

00:22:48: das ist ganz wichtig, aber man sollte

00:22:50: vielleicht auch gucken, dass man seine Systeme

00:22:52: nur so weit aufbaut, wie es nötig

00:22:54: ist, also jetzt nicht Zusatzfunktionen

00:22:56: ohne Ende einbaut, der goldene Hammer heißt es,

00:22:58: ohne dass man das braucht

00:23:00: und dann öffnet man weitere Sicherheitslücken und

00:23:02: was natürlich nicht schlecht wäre, auch so ein Penetrationstest

00:23:04: auf Netzwerkebene,

00:23:06: sofern man mehr als einen Webserver

00:23:08: hat nach außen hin

00:23:10: und wenn man nur einen Webserver hat oder auch,

00:23:12: dann sollte man natürlich darauf achten, dass die Webseite

00:23:14: am besten minimalistisch aufgebaut

00:23:16: ist, das heißt jetzt nicht, dass sie gar nichts können soll,

00:23:18: sondern das, was nötig ist, aber eben auch

00:23:20: nicht mehr und wenn die Agentur einem dann

00:23:22: 27 Sachen aufschwatzen will, dann soll die Agentur

00:23:24: darüber auch beraten, was das für Risiken

00:23:26: mit sich bringt, sowohl rechtliche

00:23:28: bezüglich Datenschutz, als

00:23:30: auch Sicherheitsrisiken, weil wenn ich

00:23:32: 47 WordPress -Plugins in meiner

00:23:34: Webseite habe, dann habe ich halt auch

00:23:36: 47 potenzielle Angriffsmöglichkeiten,

00:23:38: das muss man halt einfach wissen und

00:23:40: ich finde die Kombination daraus,

00:23:42: Dienstleister richtig aussuchen,

00:23:44: sich beraten lassen, das kostet jetzt auch

00:23:46: nicht wirklich viel mehr Geld oder gar nicht,

00:23:48: wenn man einen guten Dienstleister hat, dann sagt das einem von selbst

00:23:50: und diese Schulungen, ich glaube, die sind

00:23:52: so teuer, dass man die sich nicht leisten könnte,

00:23:54: teurer wäre es, wenn man ein Problem bekommt,

00:23:56: da hätte man doch lieber 20

00:23:58: mal eine Schulung gebucht anstatt kein Mal,

00:24:00: weil das wäre immer noch günstiger gewesen.

00:24:02: Da hast du auf jeden Fall

00:24:04: Recht, ja, definitiv.

00:24:06: Ja, also

00:24:08: mit all diesen Informationen

00:24:10: es ist,

00:24:12: mir ist das auf jeden Fall

00:24:14: so klar, also wir haben immer diese Ebene,

00:24:16: wir können immer entscheiden so, ja, ich

00:24:18: konzentriere mich auf die Sicherheit meiner Systeme

00:24:20: oder ich konzentriere mich

00:24:22: auf die Bildung der Menschen und im besten Fall

00:24:24: ist das ein Oder, das in beide

00:24:26: Richtungen regelmäßig gefragt wird

00:24:28: und geguckt wird, vernachlässige ich

00:24:30: auch nichts von beidem und

00:24:32: mein aktuelles Gefühl, zumindest

00:24:34: laut den Medienberichten,

00:24:36: wenn man so hört, was Unternehmen passiert,

00:24:38: geht in die Richtung, dass dieses Oder Richtung

00:24:40: Mitarbeiterseite, Sensibilisierung

00:24:42: und auch Proofing, Controlling,

00:24:44: haben die verstanden, worum es geht,

00:24:46: wissen die auch, warum das wichtig ist,

00:24:48: warum wirklich vermittelt wurde,

00:24:50: mit den Konsequenzen, die da unter

00:24:52: Umständen entstehen können, weil es wird sehr häufig

00:24:54: immer nur über die Konsequenzen für Unternehmen

00:24:56: gesprochen, aber dass hier wirklich auch

00:24:58: Existenzen von Privatpersonen auf dem

00:25:00: Spiel stehen können, finde ich,

00:25:02: ist eine Sache, die sollte

00:25:04: viel stärker thematisiert werden,

00:25:06: damit die Menschen auch intrinsisch

00:25:08: als Mitarbeiter in Unternehmen

00:25:10: vielleicht eine Motivation bekommen zu sagen,

00:25:12: hey, ich würde das gerne schon etwas

00:25:14: genauer verstehen, mit welchen Systemen wir hier umgehen

00:25:16: und warum, um einschätzen zu können,

00:25:18: welche Informationen möchte ich denn mit diesem

00:25:20: System verarbeiten von mir selbst.

00:25:22: Also das ist dann vielleicht das Stichwort

00:25:24: Mitarbeiter da. Genau, also vielleicht dann noch zwei

00:25:26: Sachen, das eine ist,

00:25:28: Datenschutz und Informationssicherheit hängt ja direkt miteinander

00:25:30: zusammen, wir haben es ja schon mehrfach gesagt, Artikel

00:25:32: 32 DSGVO, Sicherheit der

00:25:34: Verarbeitung, das heißt, es kann keinen Datenschutz

00:25:36: ohne IT-Sicherheit geben,

00:25:38: also gemäß DSGVO, weil da geht es ja

00:25:40: um die automatisierte Verarbeitung von Daten oder

00:25:42: teilautomatisiert oder Speicherung

00:25:44: und außerdem

00:25:46: kann es keine IT-Sicherheit ohne

00:25:48: Datenschutz, also IT-Sicherheit ohne Datenschutz und umgekehrt

00:25:50: geht halt beides nicht, man muss

00:25:52: beides gleichzeitig berücksichtigen und dann

00:25:54: habe ich vor kurzem ein Urteil gelesen, was auch eigentlich

00:25:56: logisch ist, aber es muss immer erst der EuGH

00:25:58: entscheiden, ja, die deutschen Gerichte, die entscheiden

00:26:00: irgendwelche Dinge, am Ende sagt der EuGH

00:26:02: ja, so ist es, dann sagen alle, ach guck mal, so

00:26:04: war es, das habe ich gar nicht geglaubt.

00:26:06: Da sagt der EuGH nämlich,

00:26:08: eins plus eins ist zwei, ach, wusste ich

00:26:10: gar nicht, ich bin ja auch kein Mathematiker.

00:26:12: Also jedenfalls hat er gesagt,

00:26:14: hat der EuGH gesagt, dass es nicht notwendig

00:26:16: ist, eine Person im Unternehmen zu

00:26:18: benennen, die verantwortlich für den

00:26:20: Datenschutzverstoß ist, wenn man jetzt Kläger ist zum Beispiel,

00:26:22: ja, wenn du jetzt betroffene Person bist

00:26:24: und du verklagst jetzt ein Unternehmen,

00:26:26: weil es deine Daten rechtswidrig weitergegeben

00:26:28: hat, dann musst du nicht benennen,

00:26:30: dass der Herr Müller oder die Frau Meier schuld

00:26:32: da dran war in dem anderen Unternehmen, sondern du musst nur

00:26:34: sagen, ihr seid dran schuld, dann muss das Unternehmen

00:26:36: selbst rausfinden, wer intern dran schuld war

00:26:38: und wenn dann die Frau Meier oder der

00:26:40: Herr Müller schuld war, dann müssen die sich

00:26:42: mit einer Kündigung zufriedenstellen

00:26:44: lassen oder so. Also ich finde

00:26:46: das natürlich logisch, ja, warum soll ich entscheiden,

00:26:48: wer von dem Gegner schuld

00:26:50: war, das ist mir egal, das ganze Unternehmen war

00:26:52: schuld, wer da drin, da können

00:26:54: zehn Mitarbeiter sein, die da entlassen

00:26:56: werden deswegen oder auch nur einer oder gar

00:26:58: keiner, das können die sich untereinander überlegen

00:27:00: oder vielleicht auch der Dienstleister, der die Webseite

00:27:02: schlecht programmiert hat und deswegen Einfallstor

00:27:04: für Hacker über Google Analytics zum Beispiel

00:27:06: reingebracht hat, das ist mir vollkommen

00:27:08: egal, das können die sich dann selbst überlegen und

00:27:10: sich selbst gegenseitig intern verklagen,

00:27:12: Hauptsache ich bekomme Recht als Kläger.

00:27:14: Und das hat der EuGH festgestellt und

00:27:16: wieder mal eine Sache,

00:27:18: die logisch ergründbar ist

00:27:20: und wenn es so weitergeht, dann werden wir in

00:27:22: zehn Jahren zehn Prozent aller logisch

00:27:24: eindeutigen Fragen durch den EuGH

00:27:26: klären lassen und die anderen Fragen,

00:27:28: die müssen dann alle drei Jahre lang noch ausgeurteilt

00:27:30: werden in Deutschland. Aber gut, das ist ein anderes

00:27:32: Thema, am besten alles richtig machen,

00:27:34: dann kommt man auch gar nicht erst in die Versuchung

00:27:36: festführen zu müssen.

00:27:38: Absolut. Und da sind

00:27:40: wir ja auch auf der Ebene

00:27:42: quasi wieder dieser Verantwortung,

00:27:44: also der Unternehmer hat die Verantwortung

00:27:46: für die Sicherheit der Verarbeitung zu sorgen,

00:27:48: das impliziert aber nicht nur

00:27:50: die Systeme, sondern eben genauso

00:27:52: auch die Sensibilisierung der

00:27:54: Mitarbeiter, damit die genau wissen,

00:27:56: was für ein System benutze ich, mit welchem Zweck

00:27:58: benutze ich das und verfolge ich diesen Zweck

00:28:00: eigentlich, wenn ich so und so damit umgehe?

00:28:02: Welche Alternativen habe ich unter

00:28:04: bestimmten Umständen für die Verarbeitung

00:28:06: der Daten innerhalb dieses Systems,

00:28:08: weil auch da ist man ja häufig gar nicht so

00:28:10: limitiert, wie man glaubt.

00:28:12: Und dann eben

00:28:14: der ganz große Punkt, Sensibilisierung

00:28:16: für die Verantwortung. Ich glaube

00:28:18: sehr wichtig ist es da auch,

00:28:20: dass der Mitarbeiter

00:28:22: selber weiß, pass mal auf, du hast eine

00:28:24: Verantwortung, wenn du mit Informationen in diesem

00:28:26: Unternehmen arbeitest.

00:28:28: Nicht, dass man sagt, du bist da in der Haftung

00:28:30: oder du machst dich

00:28:32: verantwortlich. Es ist immer diese Holzhammer-Methode,

00:28:34: wenn über Datenschutz geredet wird.

00:28:36: Recht kommt von oben, mit dem Holzhammer.

00:28:38: Das bringt nichts. Wir müssen den Leuten

00:28:40: sagen, der Datenschutz hilft

00:28:42: euch, bestimmte komplexe Prozesse,

00:28:44: die technologisch so schwer zu ergründen

00:28:46: sind und nur für Profis möglich sind,

00:28:48: ihr auch verstehen könnt

00:28:50: und euch eine Meinung,

00:28:52: eine Position dazu beziehen könnt,

00:28:54: die ihr dann vertreten könnt, weil ihr jetzt etwas

00:28:56: wisst über einen Vorgang, der vorher

00:28:58: nebulös war. Das ist

00:29:00: die Aufgabe des Datenschutzes. Zumindest

00:29:02: verstehe ich den so. Ja, finde ich gut.

00:29:04: Also Verantwortung klar machen. Der Mitarbeiter soll wissen,

00:29:06: dass er nicht machen kann, was er will, aber dass es auch

00:29:08: einen Sinn hat. Also es ist jetzt nicht

00:29:10: einfach von oben herab gesagt, du musst

00:29:12: das und das machen, sondern dem Mitarbeiter erklären.

00:29:14: Ich meine, eigentlich weiß jeder, wenn er

00:29:16: falsch vor der Feuerwehr zufahrt, parkt, dass es

00:29:18: Konsequenzen hat, die nicht gut sind und

00:29:20: dass er vielleicht deswegen mal fünf Minuten

00:29:22: weiterlaufen muss. Und ich meine,

00:29:24: klar, wer natürlich nur seinen Job machen will, damit

00:29:26: die Zeit vorbei ist, bei dem ist es schwer.

00:29:28: Mit solchen Leuten muss man

00:29:30: halt dann fertig werden. Dem muss man dann

00:29:32: ganz klare Anweisungen geben, damit sie

00:29:34: wissen, was sie machen sollen. Und die motivierten

00:29:36: Mitarbeiter, mit denen kann man das

00:29:38: in einer konstruktiven Weise

00:29:40: aushandeln, wie sie am

00:29:42: besten arbeiten, damit sie selbst was davon

00:29:44: haben und das Unternehmen auch. Weil wer

00:29:46: gute Arbeit macht, der sollte auch

00:29:48: einen Vorteil daraus haben

00:29:50: als Mitarbeiter. Und vielleicht kriegt der ja

00:29:52: dann auch mal einen Tag frei zusätzlich oder sowas.

00:29:54: Keine Ahnung.

00:29:56: Man kann auch mal ein höheres Gehalt. Es gibt ja Jahresgespräche.

00:29:58: Es gibt ja auch Jahresgespräche, da kann man auch mal

00:30:00: ein höheres Gehalt... Genau, man kann ja auch über Boni verhandeln.

00:30:02: Genau.

00:30:04: Ja, das finde ich

00:30:06: ein schöner Schlusssatz. Also, liebe Unternehmer,

00:30:08: die uns zuhören, wenn euch das

00:30:10: gefallen hat, was wir hier gesagt haben,

00:30:12: dann nehmt doch bitte davon mit,

00:30:14: dass die Sicherheit eurer Systeme

00:30:16: mindestens genauso wichtig ist

00:30:18: wie die Sensibilisierung eurer Mitarbeiter

00:30:20: zum Umgang mit diesen Systemen.

00:30:22: Und dass ihr das Warum vermittelt und in

00:30:24: den Vordergrund stellt, als immer nur

00:30:26: das Wie etwas zu tun ist.

00:30:28: Denn daraus entstehen ja leider auch die Mitarbeiter,

00:30:30: die dann irgendwann nicht mehr motiviert sind.

00:30:32: Und damit würde ich

00:30:34: sagen, wir haben unsere 30

00:30:36: Minuten wieder mal geschafft.

00:30:38: Der Tag beginnt.

00:30:40: Klaus, ich danke dir vielmals für das Gespräch.

00:30:42: Das war sehr erhellend und spannend.

00:30:44: Und ich freue mich schon auf das

00:30:46: nächste Mal. Ja, Stephan, kann ich nur

00:30:48: zurückgeben. Mir hat es auch viel Spaß gemacht. Danke fürs Gespräch.

00:30:50: Ich habe auch einiges mitgenommen und ich hoffe,

00:30:52: das hören auch. Ich würde sagen,

00:30:54: tschüss, bis zum nächsten Mal.

00:30:56: Tschüss.

00:30:58: Das war Datenschutz Deluxe.

00:31:00: Du willst mehr spannende Themen

00:31:02: oder Kontakt zu uns?

00:31:04: Dann besuche Klaus Meffert auf seinem Blog

00:31:06: Dr. DSGVO

00:31:08: und Stephan Plesnik auf seinem YouTube-Kanal

00:31:10: Datenschutz ist Pflicht.

00:31:12: Bis zum nächsten Mal.