Cybersecurity ist Chefsache

In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico und Ann-Kathrin mit Roland Klobs, Datenschutzbeauftragter bei Uniper, einem der großen deutschen Energieversorger und Betreiber kritischer Infrastruktur mit rund 7.000 Mitarbeitenden, über das zentrale Thema digitale und datenbezogene Souveränität.
Roland erklärt zu Beginn, warum „Datensouveränität" weit mehr bedeutet als nur die Frage, wo Daten physisch gehostet werden. Es gehe nicht primär um den Standort eines Rechenzentrums, sondern um die Hoheit und Macht über die eigenen Daten, also um vertragliche Absicherung, Portabilität und die Möglichkeit, jederzeit den Anbieter zu wechseln. Aus seiner technischen wie juristischen Perspektive (Maschinenbauingenieur und Master of Laws) zeigt er, wie Uniper das in der Praxis umsetzt: mit Microsoft 365 als zentralem Cloud-Partner mit Hosting in Amsterdam, SAP als weiterem strategischem Partner und einem klaren Rahmen aus Master Service Agreements und Auftragsverarbeitungsverträgen.
Ein zentraler Punkt ist die Realität zwischen Anspruch und Machbarkeit. Roland, Nico und Ann-Kathrin diskutieren offen, warum trotz aller Diskussionen rund um DSGVO, Schrems II und das Data Privacy Framework am Ende kaum ein Unternehmen Microsoft Teams oder andere Hyperscaler-Dienste rauswirft, die Wechselkosten und der Innovationsverlust wären zu groß. Stattdessen plädieren alle drei für ein echtes, sauberes Risikomanagement statt panik- oder hypegetriebener Bauchentscheidungen. Auch Open Source bekommt einen ehrlichen Blick: technisch attraktiv, aber rechtlich und vertraglich oft unmöglich abzusichern und mit eigenen Risiken wie eingeschleusten Hintertüren in offenem Quellcode.
Im weiteren Verlauf geht es darum, wie KI im Unternehmen sicher eingeführt werden kann. Roland beschreibt die Einführung von Microsoft Copilot bei Uniper: wie Vertraulichkeitslabel von PowerPoint auf erzeugte Word-Dokumente weitergegeben werden, wie die Beschäftigten geschult wurden, dass Daten den eigenen Tenant nicht verlassen und nicht für Trainingszwecke bei OpenAI oder Microsoft landen, und warum die KI-Verordnung sowie Codes of Conduct (Telekom seit 2017, Microsoft) wichtige Leitplanken sind. Spannend wird es, wenn er von seinen eigenen Anfängen mit neuronalen Netzen Ende der 1990er erzählt und damit erklärt, warum er heute weder Hype-getrieben noch ängstlich auf KI schaut.
Im Gespräch geht es außerdem um:
Den Unterschied zwischen Hosting-Standort und echter Datensouveränität
Vertragsgestaltung mit Cloud-Anbietern: Provider-Wechsel, Insolvenzszenarien, Datenrückgabe
Open Source als Chance und Risiko inklusive Lieferketten und Vertrauensfragen
Warum Initiativen wie die „deutsche Cloud" immer wieder am gleichen Punkt scheitern: der Zahlungsbereitschaft
Datenschutz als echter Wettbewerbsvorteil, warum manche Kunden bereit sind, mehr zu zahlen
KI-Einführung im Konzern: Schulungen, Tenant-Schutz, Diskriminierungsfreiheit, Wahrheitsprüfung
Multifaktor-Authentifizierung, Passkeys und die wachsende Abhängigkeit vom Smartphone
Kuriose Praxisbeispiele: Bußgelder fürs Bedienen des Tesla-Displays oder einer E-Zigarette während der Fahrt
Einen Zehn-Jahres-Ausblick: verteilte Data Lakes, abgestufte Datensilos nach Schutzbedarf, Sensorik überall und eine Hybrid-Lösung zwischen Innovation und Schutz besonders schützenswerter Bereiche

Roland, Nico und Ann-Kathrin geben einen sehr praxisnahen Einblick, wie ein Konzern mit 7.000 Beschäftigten Datenschutz, Datensouveränität und Innovationsdruck gleichzeitig managt und warum am Ende kein Unternehmen drumherum kommt, Sicherheit und Datenschutz als kontinuierliche Management-Aufgabe und nicht als einmaliges Compliance-Projekt zu begreifen.
____________________________________________
👤 Mehr Informationen
Ronald Knop - LinkedIn Profil
____________________________________________

🎧 Reinschauen lohnt sich!
🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache
🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority
🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber

Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.

____________________________________________

Du findest mich auf folgenden Social Media Kanälen:
📸 Instagram: cybersec_ist_chefsache
🕺 TikTok: cybersec_ist_chefsache
🤝 LinkedIn - Nico: nicofreitag
🤝 LinkedIn - Ann-Katrin: annkatrin
📌 Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache

____________________________________________

Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.

In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico und Ann-Katrin in einer Solo-Folge ohne externen Gast über das Thema Security Operations Center, kurz SOC. Es ist gleichzeitig die erste Folge nach längerer Pause, der Auftakt mit neuem Makeover und Nicos neuer Co-Host Ann-Kathrin, die als Security-Beraterin selbst tief in dem Thema steckt und ab sofort regelmäßig dabei ist.
Zum Einstieg räumen die beiden mit einem Mythos auf: Nicht jedes SOC ist für jedes Unternehmen geeignet, und 24/7 ist nicht automatisch die richtige Antwort. Bevor man überhaupt über Anbieter, Vergleichbarkeit oder Preise spricht, muss klar sein, was das SOC eigentlich leisten soll, welche Risiken überhaupt überwacht werden und wie viel der eigene Betrieb noch selbst tragen kann.
Ein zentraler Teil der Folge dreht sich um SOC-Ausschreibungen. Nico und Ann-Katrin zeigen mit vielen Beispielen aus der Beratungspraxis, warum genau dieser Beschaffungsweg in der Security so oft schiefgeht: Anbieter interpretieren Vorgaben unterschiedlich, geben generische Pauschalangebote ab, kopieren Anforderungen aus anderen Branchen oder nennen Referenzahlen, hinter denen man als Mittelständler nur eine kleine Nummer ist. Die Folge: Vergleichbarkeit, das eigentliche Ziel jeder Ausschreibung, ist am Ende oft gar nicht gegeben.
Im weiteren Verlauf wird es konkret. Beide gehen detailliert auf Stolperfallen ein, die Unternehmen unbedingt auf dem Schirm haben sollten: Vendor-Lock-in, der oft erst beim Wechsel sichtbar wird, fehlende eigene Mannschaft im Hintergrund (zum Beispiel niemand, der nachts ein Passwort zurücksetzen kann, obwohl das SOC 24/7 alarmiert), reine Linearität der Ausschreibung, die der Realität eines SOC-Betriebs nicht gerecht wird, sowie kreative Preisgestaltungen, bei denen ein Anbieter eine Million, der nächste zehn Millionen aufruft und niemand mehr weiß, was eigentlich verglichen wurde.
Spannend wird es bei einer kleinen Anekdote, die Nico aus seiner Beratungszeit mitbringt: Ein Kunde wird angegriffen, das eigene Monitoring schlägt an, der externe SOC-Dienstleister meldet sich aber nicht. Auf Nachfrage hieß es lapidar: „Doch, gesehen haben wir das, aber weil sich niemand gemeldet hat, sind wir davon ausgegangen, dass alles in Ordnung war." Genau solche Fälle, sagen die beiden, sind der Grund, warum eine SOC-Auswahl mehr braucht als ein gut formuliertes Lastenheft.
Im Gespräch geht es außerdem um:
Wann ein SOC sinnvoll ist und wann ein gut aufgestelltes internes Team reicht
Warum 24/7 nicht für jedes Unternehmen die richtige Lösung ist
Vendor-Lock-in als oft unterschätzte Red Flag bei Tooling-Entscheidungen
Wie man Referenzen wirklich auswertet, nämlich im direkten Gespräch mit aktiven Kunden, nicht nur über Logo-Listen
Warum „SOC-Umsatz" oder „Mitarbeiterzahl" als KPI nur bedingt aussagekräftig sind
Wie man verhindert, dass die Vergleichbarkeit von Angeboten an unterschiedlichen vertrieblichen Auslegungen scheitert
Den Unterschied zwischen Anbieter, Größe und Passung: Wer 500 Referenzen hat, kann großartig sein, oder man ist schlicht eine Nummer von vielen
Warum Ausschreibungen für SOCs strukturell schwierig sind und zu generischen Antworten führen
Den Praxistipp einer (gerne bezahlten) Probewoche oder eines Proof of Concepts vor jeder großen SOC-Vergabe, damit beide Seiten wissen, worauf sie sich einlassen

Nico und Ann-Kathrin geben einen sehr ehrlichen, hands-on-orientierten Einblick, was bei der Auswahl, Ausschreibung und Bewertung eines SOC wirklich zählt, und warum die scheinbar saubere Beschaffungslogik aus anderen IT-Bereichen bei Security oft genau das Falsche ist. Eine Folge für alle, die gerade vor einer SOC-Entscheidung stehen oder einen bestehenden Anbieter ehrlich auf den Prüfstand stellen wollen.
____________________________________________
👤 Mehr Informationen
Nico - LinkedIn Profil
Ann-Katrin - LinkedIn Profil
____________________________________________

🎧 Reinschauen lohnt sich!
🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache
🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority
🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber

Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.

____________________________________________

Du findest mich auf folgenden Social Media Kanälen:
📸 Instagram: cybersec_ist_chefsache
🕺 TikTok: cybersec_ist_chefsache
🤝 LinkedIn - Nico: nicofreitag
🤝 LinkedIn - Ann-Katrin: annkatrin
📌 Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache

____________________________________________

Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.

Der wöchentliche Podcast „Cybersecurity ist Chefsache“ ist eine Plattform, auf der verschiedene Experten aus der Welt der Digitalisierung und Cybersecurity zusammenkommen, um über aktuelle Themen, Trends und praktische Anwendungen zu sprechen.
Die Hosts Nico Freitag und Ann-Kathrin Lange laden regelmäßig Freunde, Kollegen und Gleichgesinnte aus unterschiedlichen Branchen ein, um ihre Erfahrungen und Perspektiven zu teilen. Gemeinsam diskutieren sie aktuelle Themen rund um Digitalisierung, Cybersecurity, OT-Sicherheit, Datenschutz und Informationssicherheit sowie deren praktische Umsetzung.
Die Themen werden durch die Community mitbestimmt, sodass die Zuhörer:innen relevante, praxisnahe und aktuelle Einblicke erhalten.
____________________________________________
____________________________________________

🎧 Reinschauen lohnt sich!
🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache
🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority
🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber

Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.

____________________________________________

Du findest mich auf folgenden Social Media Kanälen:
📸 Instagram: cybersec_ist_chefsache
🕺 TikTok: cybersec_ist_chefsache
🤝 LinkedIn - Nico: nicofreitag
🤝 LinkedIn - Ann-Katrin: annkatrin
📌 Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache

____________________________________________

Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.

In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico und Ann-Kathrin mit Roland Klobs, Konzerndatenschutzbeauftragter bei Uniper, einem der großen deutschen Energieversorger und Betreiber kritischer Infrastruktur mit rund 7.000 Mitarbeitenden, über das zentrale Thema digitale und datenbezogene Souveränität.
Roland erklärt zu Beginn, warum „Datensouveränität" weit mehr bedeutet als nur die Frage, wo Daten physisch gehostet werden. Es gehe nicht primär um den Standort eines Rechenzentrums, sondern um die Hoheit und Macht über die eigenen Daten – also um vertragliche Absicherung, Portabilität und die Möglichkeit, jederzeit den Anbieter zu wechseln. Aus seiner technischen wie juristischen Perspektive (Maschinenbauingenieur und Master of Laws) zeigt er, wie Uniper das in der Praxis umsetzt: mit Microsoft 365 als zentralem Cloud-Partner mit Hosting in Amsterdam, SAP als weiterem strategischem Partner und einem klaren Rahmen aus Master Service Agreements und Auftragsverarbeitungsverträgen.
Ein zentraler Punkt ist die Realität zwischen Anspruch und Machbarkeit. Roland, Nico und Ann-Kathrin diskutieren offen, warum trotz aller Diskussionen rund um DSGVO, Schrems II und das Data Privacy Framework am Ende kaum ein Unternehmen Microsoft Teams oder andere Hyperscaler-Dienste rauswirft – die Wechselkosten und der Innovationsverlust wären zu groß. Stattdessen plädieren alle drei für ein echtes, sauberes Risikomanagement statt panik- oder hypegetriebener Bauchentscheidungen. Auch Open Source bekommt einen ehrlichen Blick: technisch attraktiv, aber rechtlich und vertraglich oft unmöglich abzusichern – und mit eigenen Risiken wie eingeschleusten Hintertüren in offenem Quellcode.
Im weiteren Verlauf geht es darum, wie KI im Unternehmen sicher eingeführt werden kann. Roland beschreibt die Einführung von Microsoft Copilot bei Uniper: wie Vertraulichkeitslabel von PowerPoint auf erzeugte Word-Dokumente weitergegeben werden, wie die Beschäftigten geschult wurden, dass Daten den eigenen Tenant nicht verlassen und nicht für Trainingszwecke bei OpenAI oder Microsoft landen, und warum die KI-Verordnung sowie Codes of Conduct (Telekom seit 2017, Microsoft) wichtige Leitplanken sind. Spannend wird es, wenn er von seinen eigenen Anfängen mit neuronalen Netzen Ende der 1990er erzählt – und damit erklärt, warum er heute weder Hype-getrieben noch ängstlich auf KI schaut.
Im Gespräch geht es außerdem um:
Den Unterschied zwischen Hosting-Standort und echter Datensouveränität
Vertragsgestaltung mit Cloud-Anbietern: Provider-Wechsel, Insolvenzszenarien, Datenrückgabe
Open Source als Chance und Risiko – inklusive Lieferketten- und Vertrauensfragen
Warum Initiativen wie die „deutsche Cloud" immer wieder am gleichen Punkt scheitern: der Zahlungsbereitschaft
Datenschutz als echter Wettbewerbsvorteil – warum manche Kunden bereit sind, mehr zu zahlen
KI-Einführung im Konzern: Schulungen, Tenant-Schutz, Diskriminierungsfreiheit, Wahrheitsprüfung
Multifaktor-Authentifizierung, Passkeys und die wachsende Abhängigkeit vom Smartphone
Kuriose Praxisbeispiele: Bußgelder fürs Bedienen des Tesla-Displays oder einer E-Zigarette während der Fahrt
Einen Zehn-Jahres-Ausblick: verteilte Data Lakes, abgestufte Datensilos nach Schutzbedarf, Sensorik überall und eine Hybrid-Lösung zwischen Innovation und Schutz besonders schützenswerter Bereiche

Roland, Nico und Ann-Kathrin geben einen sehr praxisnahen Einblick, wie ein Konzern mit 7.000 Beschäftigten Datenschutz, Datensouveränität und Innovationsdruck gleichzeitig managt – und warum am Ende kein Unternehmen drumherum kommt, Sicherheit und Datenschutz als kontinuierliche Management-Aufgabe und nicht als einmaliges Compliance-Projekt zu begreifen.
👤 Mehr Informationen
Ralf Kleinfeld - LinkedIn Profil: https://www.linkedin.com/in/ralfkleinfeld/
____________________________________________

🎧 Reinschauen lohnt sich!
🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache
🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority
🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber

Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.

____________________________________________

Du findest mich auf folgenden Social Media Kanälen:
📸 Instagram: cybersec_ist_chefsache
🕺 TikTok: cybersec_ist_chefsache
🤝 LinkedIn - Nico: nicofreitag
🤝 LinkedIn - Ann-Katrin: annkatrin
📌 Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache

____________________________________________

Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.

In dieser Folge von Cybersecurity ist Chefsache spricht der Host mit Maximilian Moser, Consultant Industrial & Product Security beim VDMA über die Herausforderungen und Chancen des EU Cyber Resilience Act. Gemeinsam klären sie, was der Act für Hersteller von Produkten mit digitalen Elementen bedeutet, welche Pflichten auf Unternehmen zukommen und wie man ein sinnvolles Risikomanagement aufsetzt. vdma.org
Max erklärt, was unter einem „Produkt mit digitalen Elementen“ zu verstehen ist und warum es gerade im EU-Markt wichtig ist, Produktgrenzen klar zu ziehen und zu dokumentieren.
Er erläutert, wie Hersteller eine Software Bill of Materials (S-BOM) nutzen, um überhaupt ein Risk Assessment durchführen zu können und wie dies die Grundlage für Schutzmaßnahmen schafft.
Ein weiterer Schwerpunkt sind Schwachstellen- und Update-Management: Welche Meldefristen gelten bei aktiv ausgenutzten Schwachstellen und wie kann ein Hersteller Prozesse dafür einrichten?
Außerdem gehen sie auf Sonderfälle ein – von maßgeschneiderten („Tailor-Made“) Produkten über Ersatzteilregelungen bis zu kritischen Komponenten.
Abschließend diskutieren sie, wie Unternehmen die Konformitätsbewertung meistern, welche Fristen wichtig sind und welche Auswirkungen der Cyber Resilience Act auf Lieferketten und globale Anbieter hat. vdma.org
Ressourcen & Links:
• Cyber Resilience Act (EU-Regulation): Überblick und was Hersteller betrifft vdma.org
• VDMA Cybersecurity-Seite mit Leitfäden und Factsheets vdma.org
• Maximilian Moser LinkedIn: https://tinyurl.com/2nh3rc2f
____________________________________________
👤 Mehr Informationen
Name - LinkedIn Profil:
____________________________________________

🎧 Reinschauen lohnt sich!
🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache
🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority
🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber

Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.

____________________________________________

Du findest mich auf folgenden Social Media Kanälen:
📸 Instagram: cybersec_ist_chefsache
🕺 TikTok: cybersec_ist_chefsache
🤝 LinkedIn - Nico: nicofreitag
🤝 LinkedIn - Ann-Katrin: annkatrin
📌 Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache

____________________________________________

Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.