Vom Betriebspraktikum zum Cybersecurity-COO: Die unglaubliche Story von Jan Hörnemann | Teil 1 | EP 31

00:00:00: So, ich habe heute bei mir zu Gast den Jan Hörnemann von der AWARE 7 und jetzt übergebe

00:00:10: ich das Wort mal direkt an dich Jan, vielleicht stellst du dich mal kurz vor, für die, die

00:00:14: dich noch nicht kennen, wo kommst du her, was ist dein Werdegang, was machst du heute?

00:00:20: Genau, leg gerne mal los.

00:00:22: Danke Janosch, freut mich jetzt zu Gast sein zu dürfen.

00:00:26: Wie du schon sagst, mein Name ist Jan Hörnemann.

00:00:28: Ich bin recht frisch 27 Jahre jung geworden und komme aus, oder ich sitze hier gerade in

00:00:34: dem wunderschönen Gelsenkirchen.

00:00:35: Genau, wir spielen nicht nur zweitklassigen Fußball, sondern wir haben auch ein Unternehmen,

00:00:39: was sich mit IT-Sicherheit beschäftigt.

00:00:41: Genau, du hattest schon den Namen gesagt, ich komme von der AWARE 7 GmbH und wir sind

00:00:46: ein Dienstleister im Bereich der IT-Sicherheit.

00:00:48: Also wir machen tatsächlich nichts anderes außer uns den ganzen Tag mit der IT-Sicherheit

00:00:52: zu beschäftigen und das als Dienstleister, das heißt wir entwickeln keine Produkte,

00:00:56: sondern wir führen Sicherheitsanalysen, also Penetrationstests durch oder beraten im

00:01:01: Kontext von Informationssicherheitsmanagement-System.

00:01:04: Klasse, vielleicht zu deinem persönlichen Background, ich kenne jetzt ein bisschen deine

00:01:09: Story, dass du damals 2019 als Praktikant angefangen hast und da auch deinen Studium

00:01:16: begleitend die Bachelor Thesis gemacht hast und hast über die Jahre da natürlich auch

00:01:21: eine tolle Position als CEO mittlerweile und wie kommt man dahin, ist das so vielleicht

00:01:28: zu deinem Origin?

00:01:29: Es war so ein typisches Script-Kiddi, das sich schon immer für IT-Hacking und White-Head-Themen

00:01:35: beschäftigt hat, war das so dein Ding oder wie kommt man dahin?

00:01:39: Das ist eine schön offen gestellte Frage, da muss ich tatsächlich recht weit aussohlen.

00:01:44: Also ich komme vom Niederrhein, das hört man vielleicht zwischendurch nochmal.

00:01:47: Ich habe gerade den großen Nachteil, dass die Hälfte meines Gesichtes dank eines Zanas

00:01:51: Besuchers etwas eingeschränkt funktioniert, deswegen weiß ich nicht, ob man den niederrheinischen

00:01:55: Dialekt noch durchhört.

00:01:56: Ich komme aus Dinken, das liegt so in der Nähe von Wesel und Bochold, recht nah an der holländischen

00:02:02: Grenze und ich hatte tatsächlich eigentlich mit IT nie was zu tun.

00:02:07: Also ich habe ganz normalen Mal ein Abitur gemacht, ich konnte nicht mal Informatik in meinem

00:02:10: Gymnasium wählen, also habe ich mich eigentlich mit der IT nur beschäftigt, wenn ich in der

00:02:16: Freizeit mal gezockt habe, wie fast jeder Jugendliche, die in unserem Alter ja noch

00:02:20: hat.

00:02:21: Und genau meine Eltern haben auch nichts mit der IT zu tun.

00:02:26: Also irgendwie meine Mutter ist Lehrerin, mein Vater ist Handwerker und ich kam dann

00:02:29: nach dem Abitur auf die Idee, ich möchte Informatik studieren.

00:02:32: So und ich muss zu meiner eigenen Schande ein wenig gestehen, ich habe damals den Wunsch

00:02:37: gehabt, Informatik zu studieren, weil es in Bochold war, sprich ich konnte zwar auch so

00:02:40: wohnen und es gab keinen NC.

00:02:42: Mein Abitur war nicht das Beste, das heißt ich habe gedacht, okay, gehe ich den Weg des

00:02:46: geringsten Widerstandes und studiere einfach mal Informatik in der häuslichen Nähe und

00:02:51: guck mal, was passiert.

00:02:52: Und so ist es dann tatsächlich passiert, dass ich, boah, ich glaube 2016 genau angefangen

00:02:57: habe, den Bachelor in Bochold an der Westfälschen Hochschule zu studieren.

00:03:00: Das hat auch ganz gut funktioniert, das war damals noch reine Informatik und wir hatten

00:03:05: einen Wahlpflichtfach, ich glaube im vierten oder fünften Semester, das sich mit Sicherheit

00:03:09: und Datenschutz beschäftigt hat, wo so ein bisschen die Kryptografie reingegangen sind

00:03:12: und solche Thematiken.

00:03:13: Und das fand ich so spannend, dass ich meinen damaligen Professor, der meine Bachelorarbeit

00:03:18: betreut hat oder betreuen sollte, gefragt habe, wo ich denn in welchem Unternehmen ich

00:03:22: den gegebenenfalls was mit Sicherheit machen könnte, weil das hat mich total interessiert.

00:03:26: Und der Professor, Professor Martin Schulten hat mich damals wirklicherweise nach Gelsenkirchen

00:03:33: vernetzt.

00:03:34: Er sagte nämlich, die Westfälsch Hochschule hat auch noch in Gelsenkirchen einen Standort

00:03:37: und dort gibt es das Institut für Internetsicherheit und da habe ich dann den Norbert Polmann

00:03:42: kennenlernen dürfen, der aktuell auch meine Promotion betreut und der hat damals recht

00:03:48: frisch mit ein Unternehmen gegründet gehabt, die ERA7, der, wo ich dann recht, ja genau,

00:03:54: ich glaube Ende 2018 mit dem Gründer, dem Chris Wojczykowski vernetzt worden bin und

00:03:59: so ist es dann gekommen, dass ich quasi der erste Praktikant der ERA7 war durch einen

00:04:03: recht glücklichen Zufall, der mich damals von Bocholt nach Gelsenkirchen verschlagen

00:04:06: hat.

00:04:07: Ja wild.

00:04:08: Das heißt, dein Origin ist gar nicht so, wie man das normalerweise von Äthilien typisch

00:04:12: kennt, sondern, also ich kann da mal einen kurzen Schwenk, meine Story machen, bei mir

00:04:17: war es zum Beispiel mein damaliger Stiefvater, der hatte eine IT-Firma und da bin ich schon

00:04:22: als kleiner Stöpsel immer die ganze Zeit rumgelaufen und hatte damals mit 4,86ern

00:04:26: immer zu tun, 3,86ern war mein erster Computer und natürlich, wie bei dir auch, Gaming hat

00:04:32: eine Rolle gespielt.

00:04:33: Counter-Strike, oder war natürlich schon immer so eine grundlegende IT-Affinität da.

00:04:39: Was findest du denn in dem Thema grundsätzlich so spannend, weil du sagst, das war genau dein

00:04:44: Ding, was war da so der Trigger oder was findest du daran so spannend?

00:04:48: Ja, also das kam bei mir tatsächlich wie du bei dir auch so ein bisschen durchs Zocken

00:04:52: und also ich habe damals schon meinen Computer so selbst zusammengebaut, also so ein bisschen

00:04:57: so dieses technische fand ich nie richtig uninteressant, aber mich hat damals immer

00:05:01: extrem gestört, wenn ich bei, weiß ich nicht, den Videospielen damals irgendwie, Dota, Diablo

00:05:05: oder sowas gegen irgendwelche Leute gespielt habe, die offensichtlich nicht nur mit der

00:05:11: manuellen Stärke spielt, sondern vielleicht die ein oder andere technische Unterstützung

00:05:14: haben.

00:05:15: Das hat mich so sehr gestört, dass ich dachte, das will ich verstehen, das will ich auch

00:05:18: haben so vom Prinzip, also recht naiv, wie man da jetzt Jugendlicher denkt und so bin ich

00:05:23: da ein bisschen in diese Richtung reingegangen, aber man muss dazu sagen, dass ich persönlich

00:05:28: schnell dazu neige, mich in so Sachen reinzunörden, also ich bin zum Beispiel ein passionierter

00:05:31: Schachspieler und irgendwie so Sachen, die so vielleicht irgendwie, wo man, wenn man

00:05:38: sich damit beschäftigt, recht schnell merkt, oh, ich habe eigentlich nur die Hälfte verstanden

00:05:41: und umso mehr ich mich damit beschäftige, umso mehr weiß ich, ich habe eigentlich gar

00:05:44: keine Ahnung und so ein bisschen so ist es auch bei IT-Sicherheit, also es gibt ja jeden

00:05:48: Tag eine neue Sicherheitslücke und wenn man denkt, jetzt habe ich das verstanden, kommt

00:05:52: nächste Woche irgendwie ein Update oder eine neue Sicherheitslücke raus, die mir zeigt,

00:05:56: ich habe eigentlich gar keine Ahnung.

00:05:58: Das ist aber interessant, dass du sagst, ich glaube, das ist eine Eigenschaft, die viele

00:06:02: erfolgreiche IT-Lehrer auch teilen, diese Gefühl ist komplett zu verstehen und aufzusaugen

00:06:09: und zu meistern. Das merkst du zum Beispiel auch, wenn wir beim Thema Spiele kurz bleiben,

00:06:16: ich bin so ein richtiger Strategiespieltyp, wenn ich jetzt Anno 1800 spiele, Junge, riesengroße

00:06:22: Städte, Perfektionismus im Plan und mir macht das Spaß, Dinge aufzubauen und komplett zu

00:06:28: machen und das glaube ich auch so eine Charaktereigenschaft, die sehr, sehr hilfreich ist, wie man ja auch

00:06:33: in deinem Fall sieht, einfach über den Tellerrand zu gehen und halt die Extrameilen zu gehen

00:06:40: und gleichzeitig diese Charaktereigenschaft zu haben, Wissen aufzusaugen und zu verbessern.

00:06:45: Meine Frau tötet mich auch immer, weil wenn ich dann ein Thema habe, nämlich wie du, ich

00:06:49: fuchst mich richtig tief rein, weil ich einfach ja der Beste sein will in dem, was ich tue.

00:06:55: Aber bin ich auch so bei dir? Okay, spannend. Jetzt kommst du aus der Ecke, aber dann klopft

00:07:01: ja plötzlich das Thema IT-Sicherheit an und für die lieben Zuhörer vielleicht zum

00:07:07: Background, wo der Jan und ich, wo wir uns kennen, wir haben auf eine Finlex Versicherungsveranstaltung

00:07:13: dieses Jahr zusammen jeweils einen Beitrag gehalten, ich über Ransomware und Cyberincident

00:07:19: und Jan hat einen phänomenal tolles Lifehacking gezeigt, wo es dann den Leuten im Publikum

00:07:26: kalt den Rücken runter gelaufen ist, also im positiven Sinne einfach mal zu zeigen,

00:07:29: was kann da passieren. Und das ist ja doch nochmal eine ganz, ganz andere Ecke und da

00:07:34: hat man natürlich gesehen, du hast wahnsinnig gute technische Skills, bist gleichzeitig

00:07:38: ein großartiger Speaker und da hast du das Publikum saugut abgeholt zu dem Thema. Das

00:07:43: ist ja auch das, was bei der Aware 7 unter anderem macht, auch Lifehacking und Schulungen.

00:07:47: Wie kam es dazu, dass du da so reingelausen bist und so in diese Tiefe mit Lifehacking

00:07:55: und allem, was dazuhört? Also, ja, das ist recht spannend, also die

00:08:00: Aware 7, ich bin ja damals als Praktikant da so ein bisschen reingerutscht und meine

00:08:04: erste Aufgabe war tatsächlich, die Mitarbeiter heutzutage glauben das gar nicht mehr, ich

00:08:08: wollte damals ein Python-Script schreiben, weil wir hatten damals die Idee so ein digitales

00:08:13: Risk-Management aufzubauen, wo man seine Domain einträgt und danach so einen Risk-Score

00:08:17: bekommen, also man zapft mit diesem Tool verschiedene Quellen an, das gibt es auch immer noch,

00:08:21: dieses Tool ist bei uns intern für Penetrationstests beispielsweise im Einsatz. Und das war so

00:08:25: meine erste Aufgabe, aber ich hatte am zweiten oder dritten Praktikumstag habe ich damals

00:08:31: von, ich glaube dem Jonas, der arbeitet auch noch heute bei uns, so ein Lifehacking-Vortrag

00:08:35: gehört, weil das war damals auch die Gründungsidee, die Chris und Matteo, unsere beiden Gründer,

00:08:40: aus dem Institut für Internet-Sicherheit ausgegründet haben, denn die Aware 7 ist

00:08:44: ein Spin-off von diesem Institut, wo auch der Norbert Pohlmann der Institutsleiter ist

00:08:49: und die Ausgründung hat damals primär die, ich sag mal, Dienstleistungen des Lifehackings

00:08:54: und des Penetrationstests professionellisiert, kann man glaube ich sagen. Und genau das heißt,

00:09:00: durch dieses Spin-off, durch diese Ausgründung hat die Aware 7 schon den einen oder anderen

00:09:04: Kunden gehabt, wo man Lifehacking-Shows Schulungen durchführen konnte. Und damals, ich war ja,

00:09:10: wie alt war ich damals, 18, aber irgendwie gerade frisch 20 oder sowas. Und dann noch keine großen

00:09:17: Kontakte mit der IT-Sicherheit gehabt und dann so ein Lifehacking gesehen, wo man so recht schnell

00:09:21: und ja auch so ein bisschen wie eine Show zeigt, wie einfach man doch verschiedene Webseiten knacken

00:09:26: kann und sich Gutschain-Codes erhecken kann und sowas. Und also ich muss sagen, spätestens nach

00:09:30: dem Tag war das Kind im Boden gefallen, also dann wollte ich das auch können. Und dann hatte ich

00:09:36: das Glück, also ich bin halt dran geblieben, habe meinen Praktikum fertig gemacht, konnte meine

00:09:40: Bachelorarbeit schreiben und genau in der Zeit haben wir es halt als Aware 7 geschafft von diesem

00:09:45: Start-up uns ja so ein bisschen im Markt zu stabilisieren, Kunden zu bekommen, schwarze Zahlen

00:09:50: zu schreiben, sodass dann auch nach der Bachelorarbeit eine Werkstudentenstelle freigewesen ist, die ich

00:09:55: bekleiden konnte, sodass ich meinen Master nebenbei machen konnte. Und so genau bin ich nicht mehr

00:10:00: von diesem gelsen Kirchenunternehmen weggekommen. Das ist doch schön, auch wenn man gerade so viele

00:10:05: Jahre im Unternehmen verbringt und da auch so viel mehr wird stiften darf, das ist schon toll. Ich

00:10:09: erinnere mich, weil du das gerade gesagt hast mit dem Lifehacking, dass du das miterleben durftest.

00:10:13: Viele Jahre zuvor, das waren noch zu Zeiten von WPR 1 im Wi-Fi Bereich, war ich auf einer

00:10:20: Zebit Preview-Konferenz in München und da haben die auch ein Lifehacking gemacht und haben dann und

00:10:27: das war natürlich für alle Beteiligten, die dort im Raum saßen, im Prinzip einfach mal diesen

00:10:31: SSID Outreach der mobilen Endgeräte aufgezeigt. Und das Schärfste war dann, das weiß ich noch,

00:10:38: die SSID, die die ganz oben stand, war Saunaklub. Und natürlich ist das ganze Publikum gelacht.

00:10:46: Und dann haben sie aber im Umkehrschluss dann auch mit WPR 1-Routern zu der Zeit eben das

00:10:52: "Bloot Forcing" gezeigt im Lifehacking-Event und gezeigt, wie schwach diese Technologie ist. Das war

00:10:57: gerade zum Wechsel, WPR 1, WPR 2 gegen Hand in Hand. Und das war auch schon sehr beeindruckend.

00:11:03: Also ich weiß genau, wie du dich gefühlt hast, das einmal live zu erleben, was technisch auch

00:11:07: möglich ist, ist auch doch greifbar für die Leute. Das ist so eine Sache. Ich finde, wenn man

00:11:12: gerade solche Themen ohne visuelle Beispiele oder Praxisbeispiele kommuniziert, ist es oft

00:11:18: schwer zu greifen, wenn du das nur in der Theorie runterdueselst. Jetzt macht ihr ja auch Schulungen?

00:11:26: Würdest du sagen, dass du gerade so Live-Vorträge, Schulungen, Beratung eine ganz große Rolle bei

00:11:34: ich im Unternehmen spielst oder sind es andere Bereiche, wo ihr stärker aufgestellt seid und wachst?

00:11:41: Wachsen tun wir eigentlich in allen Bereichen, aber recht moderat. Wir sind ein klassischer

00:11:50: Dienstleister. Bei so Dienstleistern ist es sehr untypisch, dass man von, wir sind aktuell 30

00:11:54: Mitarbeitende, dass wir jetzt in einem Jahrhundert sind. Das funktioniert als Dienstleister in der

00:11:59: Regel ja nicht, sondern eher bei Produktherstellern. Wir versuchen moderat zu wachsen, aber tatsächlich

00:12:03: in allen Bereichen. Aktuell ist es so, dass der größte Bereich ist Pentest, ganz dicht gefolgt von

00:12:10: der Beratung. Und ein bisschen das Thema Fishing, e-Learning, Live-Hacking, das ist bei uns dann

00:12:16: so auf der Stelle drei. Aber das sind auch die drei wertschöpfenden Prozesse, die drei wertschöpfenden

00:12:22: die wir so haben und genau wo wir tatkräftige, größtenteils junge Berater, Beraterinnen haben,

00:12:30: die versuchen ja primär unsere KMUs, was unsere Hauptziegegruppe ist, da tagtäglich zu betreuen.

00:12:36: Hey, spannend, dann lass uns mal direkt zum Thema Pentest einsteigen. Ich dem du sagst,

00:12:41: das ist so euer Top-Thema. Erzähl uns mal, wie so ein typischer Pentest-Bau ich ablauft, wie

00:12:48: euer typischer Kunde ist und vor allem, was habt ihr da für Learnings gemacht? Ich meine,

00:12:52: ihr macht das jetzt schon viele, viele Jahre und für die Zuhörer natürlich auch interessant,

00:12:56: wenn man jetzt Kunden gewinnen will oder hier in dem Bereich Fuß fassen will. Einfach mal so,

00:13:02: was sind eure Learnings? Was hat funktioniert? Was hat nicht funktioniert? Das ist ja super.

00:13:08: Ja, also ein typisches Pentest-Projekt ist tatsächlich recht schwierig abzuzzeichnen,

00:13:13: weil also muss ich den nicht erzählen. Jeder Kunde ist irgendwie anders als unsere Hauptkunden und

00:13:18: die, die uns auch, ich sag mal so, kennen und verfolgen sind klassisch KMUs. Also das beginnt

00:13:24: so bei Organisation ab, weiß ich nicht, 50, 100 Mitarbeitende und geht dann so hoch bis 200,

00:13:29: 300, 400, 500 Mitarbeitende. Denn wir brauchen immer auf der anderen Seite einen Unternehmen,

00:13:34: was zumindest ein, zwei IT-Las hat. Wir brauchen kein IT-Sicherheits-Spezialisten, IT-Sicherheitsbeauftragten

00:13:42: auf der anderen Seite, aber wir brauchen diesen Sparringspartner des IT-Las. Wenn wir jetzt

00:13:46: ein Unternehmen, also mein Vater ist selbst einen Handwerker in einem kleinen, selbstständigen

00:13:51: Unternehmen, die haben kein IT-Las. Bei denen muss ich kein Pentest durchführen, weil da macht der

00:13:56: Geschäftsführer in dem Fall meistens die IT noch irgendwie selbst oder hat einen Extendienst-Laster

00:14:00: dafür oder sowas. Da müssen wir nicht anfangen, sondern wir brauchen wirklich auf der anderen Seite

00:14:04: jemand, der die IT bestenfalls aufgebaut hat und betreut, den wir dann so ein bisschen als

00:14:08: Sparringspartner benutzen können, den wir so ein bisschen ja offene Lücken aufweisen können. Klasse

00:14:13: starten wir dann mit dem Auftaktgespräch. Also bevor bei uns ein Angebot verschickt wird, wird

00:14:18: immer ein Auftaktgespräch geführt, wo auch schon der Techniker dann mit dabei ist, weil es ist ganz

00:14:23: schwierig den Aufwand gut einschätzen zu können. Das Pareto-Prinzip 80/20 trifft ja auf fast alle

00:14:30: Lebensbereiche zu, aber ich finde auf gerade den Bereich der Sicherheit am besten. Wir kriegen

00:14:35: kein System zu 100 Prozent sicher. Never ever, null Chance. Wir können dabei jetzt auch als

00:14:40: klassisches KMU keine 100.000 Euro für einen Pen-Test jährlich bezahlen, weil das steht

00:14:45: wirtschaftlich in keinem Verhältnis. Und um dann einfach wirklich dieses gesunde Mittelmaß an

00:14:51: ja Pen-Test-Tagen an dieser Durchführungszeitraum und den Kosten auf der anderen Seite zu finden,

00:14:57: braucht man so ein Auftaktgespräch. Und da profitieren wir natürlich jetzt von unserer mittlerweile

00:15:02: sechsjährigen Erfahrung, dass wir ein gutes Gespür dafür haben, so viele Web-Anwendungen,

00:15:07: so viele Kleinen, so viele Netzwerkssegmente. Hier brauchen wir jetzt zehn Tage, hier brauchen

00:15:11: wir vielleicht vierzehn Tage. Und auf Grundlage von dessen von dieser Einschätzung wird dann

00:15:16: Angebot erstellt. Und wenn das angenommen wird, dann geht es eigentlich nochmal in so

00:15:23: diesen letzten Absprache. Wann wird getestet? Brauchen wir vielleicht Zugangsdaten? Gibt's

00:15:28: Infos vorab oder sollen wir komplett blackboxmäßig ohne Vorabinformation reingehen? Ja, dann wird

00:15:34: der Pen-Test durchgeführt. Im besten Fall rufen wir während des Bearbeitungszeitraums nicht

00:15:38: an, kommt aber leider häufiger als man sich so vorstellt vor, dass wir zwei, drei Tage auf

00:15:45: die Systeme draufhauen, mal salopp gesprochen und feststellen, hier brennt es richtig. Wir hören

00:15:51: jetzt mal eben kurz auf und rufen an, weil die Lücke schließen wir nicht nächste Woche, sondern die

00:15:54: schließen wir jetzt. Also ein sogenannte Out-of-Band-Report. Das kommt leider recht häufig vor,

00:16:01: wenn es dann nicht vorkommt oder auch wenn es vorkommt nach Abschluss, genau, wird dann der

00:16:05: Report erstellt und der wird dann dem Kunden über einen sicheren Datei-Share zur Verfügung

00:16:09: gestellt. Also was sollte man nicht einfach so per Mail in die Welt rausposaunen? Und so funktioniert

00:16:14: bei uns ganz klassischen Pen-Test. Was gut funktioniert, was schlecht funktioniert, genau. Also ich glaube,

00:16:19: der Prozess, den ich jetzt gerade so ein bisschen skizziert habe, der hat sich über die Jahre

00:16:22: entwickelt. Also Pen-Test-Anbieter gibt es ja sehr, sehr viele und wir sind damit einfach aus unserer

00:16:29: Erfahrung gut gefahren, dass wir dieses initiale Gespräch für die Aufwandsabschätzung, das ist ja

00:16:35: quasi, also genau, ist ja ein Angebot von uns, dass wir einfach sagen, okay, wir versuchen wirklich

00:16:39: ein gutes Angebot, wo der Kunde mehr Wert von hat, wir aber auch mehr Wert von haben, ganz

00:16:44: transparent aufzustellen. Und das hat deutlich besser funktioniert als beispielsweise, dass der

00:16:49: Kunde eine Selbseinschätzung gibt, wie viele Segmenten er hat, wie viele Geräte er hat und

00:16:54: wie viele Tage er dann braucht, weil das können die Kunden nicht. Genau, so was hat sich dann in

00:16:58: der Zeit so ein bisschen geformt. Und mit dem aktuellen Prozess fahren wir eigentlich auch genau

00:17:01: jetzt seit mehreren Monaten, wenn nicht sogar Jahren, sehr, sehr gut. Wann, dass du das sagst,

00:17:06: gerade mit dem Prozess, wo ihr merkt, dass wenn ihr vorab den Aufwand reinsteckt, das ist auch

00:17:11: eine Sache, die wir bei uns in den Unternehmen eigentlich immer so machen. Value first. Weil

00:17:16: das, was ihr mit eurem, ich nenn's mal, vorab-Analyse-Assassement ja auch macht, erstens, ihr macht

00:17:21: euch die Arbeit leichter, weil ihr halt ganz genau den Scope wisst, was zu einem besseren Angebot

00:17:26: führt. Und gleichzeitig sieht der Kunde ja in diesen Gesprächen auch schon jede Menge mehr

00:17:30: wert. Weil du lässt ja zwischendrin immer mal die eine oder andere Line fallen, wo du sagst,

00:17:34: ah, da müssen wir mal gucken, hier und da. Und der Kunde fühlt dir auch, dass das dann viel

00:17:40: individueller Ansatz ist. Du gehst in Vorleistung, das kostet dich vielleicht je nach Assessment

00:17:44: zwischen 1 und 4 Stunden, je nachdem. Aber und das muss man natürlich auch sagen, die Auftragsvolumina,

00:17:51: die danach resultieren, sind ja groß genug, dass sich dieser Up-Front-Aufwand rechnet. Und

00:17:59: andersrum erlebt man das ja auch heutzutage, mag auch noch viel zu oft, dass die Leute, gerade

00:18:04: wenn es um Angebote geht, kurz im Kunden eine Viertelstunde sprechen, Angebote rausschicken. Und

00:18:08: das sind dann die Sachen, die ihr jetzt gerade, so wie bei euch auch, sagt, ihr habt einen starken

00:18:13: Mitbewerb, einen echten Unterschied darstellt. Weil der Kunde spürt, ihr interessiert euch für

00:18:17: ihn, ihr geht in Vorleistung, ihr wollt erstmal nichts haben und das erhöht massiv die Closing

00:18:22: Grade am Ende des Tages. Genau. Also ich fand den Punkt, den du gerade gesagt hast,

00:18:27: den würde ich gleich noch mal unterstreichen, dass, also dieser Vorkast ist natürlich irgendwo

00:18:33: eingepreist, klar. Also ich meine, wir sind ein Wirtschaftsunternehmen, wir müssen irgendwie

00:18:36: gucken, dass wir die Gelter etc. und die Fixkosten bezahlt bekommen. Aber das lohnt sich auch

00:18:41: unabhängig davon, weil wenn man von Kunden beispielsweise dann völlige Fehleinschätzungen

00:18:46: bekommt. Und da kann der Kunde auch häufig gar nichts für, weil wir haben eine sehr abstrakte

00:18:50: Dienstleistung, sehr speziell in den letzten Jahren. Er ist hervorgekommen, teilweise werden

00:18:55: er jetzt viele Organisationen dazu gesetzlich verpflichtet, das durchzuführen und haben

00:18:58: sich davor noch nie mit beschäftigt. Wenn man dann ja vielleicht von der Anwendung steht

00:19:03: und sich denkt, oh, dies signifikant größer, als der Kunde gerade eingeschätzt hat, ich

00:19:08: habe aber jetzt irgendwie nur zwei, drei Tage Zeit. Das sorgt ja auch nur für Stress

00:19:12: und für Frust auf allen Seiten, aber andersrum auch. Also wenn ich dann auf einmal 20 Tage

00:19:17: Zeit habe, um mir jetzt eine Web-Anwendung anzugucken, das ist für beide Seiten ja

00:19:21: auch nicht so der richtige Fall. Deswegen da in diesem Vorkast oder wie man es auch

00:19:26: immer nennen möchte, das ist ein Vorteil für den Kunden, aber auch definitiv für uns

00:19:30: in dieser praktischen Durchführung, dass wir einfach wirklich alle von Anfang an wissen,

00:19:34: okay, das ist jetzt der Umfang und der passt. Und so kriegen wir vernünftige Ergebnisse

00:19:40: in einem angemessenen Zeitraum. Was ich großartig zum Beispiel auch finde, ist, dass ihr von

00:19:45: Anfang an die IT-Verantwortlichen mit ins Boot holt. Ich kann mir vorstellen, gerade

00:19:51: in der Pentastation, wenn man sich jetzt mal in die Lage des IT-Verantwortlichen setzt,

00:19:58: für die ist das halt auch immer so ein bisschen okay Hosen runter. Und ich kann mir vorstellen,

00:20:02: aber da kannst du, glaube ich, gleich selber nochmal ein paar Worte zu sagen, dass das

00:20:06: schwierig ist, oder? Die Leute doch abzuholen und das richtige Mindset zu setzen, zu sagen,

00:20:10: guck mal, wir machen das nicht, damit wir den Finger auf dich zeigen, sondern damit

00:20:13: wir ganzheitlich die helfen, als sehr tiefer Antwortlicher die IT-Sicherheit auf den Level

00:20:18: zu heben, dass eurem Unternehmenswachstum entspricht. Ja, wobei ich da sagen muss, dass das in

00:20:25: den letzten Jahren deutlich, deutlich einfacher geworden ist. Also dieses Thema, oh jetzt wird

00:20:31: quasi der IT-Leiter geprüft und wir gucken mal, wie viele Fehler da reingebaut hat und

00:20:36: der kriegt danach von seinem Chef einer auf den Deckel. Das war vor, ich sag mal, drei,

00:20:40: vier Jahren noch deutlich häufiger anzutreffen, dass man wirklich diese digitalen Gespräche

00:20:45: dann hat und so irgendwie merkt, so bei einer Abschlusspräsentation. Die Stimmung ist

00:20:49: jetzt irgendwie so ein bisschen angespannt, weil man einfach den Fehler entdeckt hat oder

00:20:54: eine Sicherheitslücke aufklären konnte. Und das ist ja nur ein Benefit für den Kunden.

00:20:58: Also, ist so super, dass ein Fehler gefunden wurde, jetzt ist er weg.

00:21:02: Dieses Mindset, dass das ja ein Miteinander ist und kein Gegeneinander und niemand sucht

00:21:07: hier einen Schuldigen oder sowas, das ist in den letzten zwei, drei Jahren deutlich, deutlich

00:21:12: weniger geworden. Also mittlerweile erleben wir es oder ich oder das, was ich von den Abteilungsleitern

00:21:18: oder den Teammitleidmitgliedern höre, deutlich seltener, dass da dieses Gegeneinander von

00:21:24: der Stimmung her ist. Und das ist deutlich ja miteinander mehr geworden. Aber ich meine,

00:21:28: weil nahezu alle Organisationen, NIST 2 kommt bald, Dora, der Cyber Resilience Act, die

00:21:35: Organisationen müssen sich damit ja beschäftigen. Und ich meine, man muss nur in die Nachrichtensendungen,

00:21:40: Nachrichtensseiten gucken. Die Anzahl der Angriffe nimmt stetig zu. Die geopolitische Lage ist

00:21:45: angespannt, wie gefühlt, nie zuvor. Also, das ist einfach ein Thema, mit dem man sich beschäftigen

00:21:49: muss. Und ich glaube, dass da dieses Mindset von Gegeneinander gegen den IT-Leiter deutlich

00:21:56: besser geworden ist und auch kontinuierlich besser wird.

00:21:58: Schön, dass es da auch ein Wandel gibt, dass da eine Umdenke auch stattfindet. Zum Thema

00:22:06: eurer Anfänge, ich gehe noch mal ganz kurz zurück ins Hauptmenü, wo ihr ganz am Anfang

00:22:13: habt jetzt den riesen charmanten Vorteil gehabt, das ihr, als ihr gegründet habt, als das Unternehmen

00:22:18: entstanden ist, natürlich schon ein gewissen Kundenbasis hartet. Das ist ein Luxus, hat

00:22:23: jedes Unternehmen. Und wie würdest du heute sagen, was hat bei euch einen großen Einfluss

00:22:30: auf Neukundengewinnung? Sind es Kaltartwiese? Ist es Netzwerk? Sind es Konferenzen? Wo

00:22:38: würdest du sagen, fühlt ihr das, das zieht?

00:22:40: Die klassische berater Antwort und die unzufriedigte Antwort ist alles.

00:22:46: Schön. Kann man tatsächlich gar nicht so hart mapen. Wir bespielen verschiedene Konferenzen,

00:22:54: zum Beispiel, das kann ich auch recht frisch verkünden, wahrscheinlich ist das sogar das

00:22:58: erste Medium, wo wir es verkünden. Wir sind nächstes Jahr wieder auf der RSA-Konferenz

00:23:01: in San Francisco. Also wir sind auch, wir waren auch schon mal auf der Gisec in Dubai, ist

00:23:06: die, glaube ich, da waren wir 2021. Bitte nahe mich nicht drauf fest. Die ITSA damals,

00:23:13: die Hannover Messer, also diese ganzen Messen, Veranstaltungen, die bespielen wir auch. Davon

00:23:19: muss man aber tatsächlich sagen, so leadtechnisch ist die ITSA schon die stärkste. Also da muss

00:23:23: man sich nicht zehn Stunden im Flugzeugsetzen nach San Francisco fliegen, sondern die ITSA

00:23:27: ist da schon gerade in der IT Security Bubble eine wirklich gute Konferenz, wo man viele

00:23:32: Leads sammeln kann. Ansonsten merken wir, also wir sind 30 köpfiges Unternehmen, wir haben

00:23:38: natürlich jetzt auch kein riesiges Marketing-Budget oder solche Thematiken, dass man bei allen

00:23:43: Thematiken so mitmacht. Also er ist nicht überall fanghaft seine Nase irgendwie in den Bild

00:23:48: hält, aber auch so Veranstaltungen wie zum Beispiel, was du vorhin angesprochen hast,

00:23:52: die Findlikes in Wien, solche Veranstaltungen. Also Leute, ich habe dich kennengelernt und

00:23:56: noch ganz viele andere spannende Speaker und auch teilweise spannende Leute aus der IT Security,

00:24:00: aus der Versicherungsbranche. Wir haben selbst auch ein Podcast, also so ein Medium dann versucht

00:24:06: auch zu benutzen. Wir haben einen eigenen Blogbeitrag oder Newsletter, haben wir auch solche Thematiken.

00:24:12: Also dass man da einfach versucht zu schauen, was gibt es für verschiedene Medium-Arten,

00:24:19: für verschiedene Kanäle, auf denen man sich mit anderen Leuten aus der IT Security vernetzen

00:24:24: kann, Mehrwert stiften kann und da versuchen wir einfach auf allem dabei zu sein und die

00:24:30: OS7 ganz gut zu repräsentieren. Und das funktioniert, stand jetzt ganz gut.

00:24:34: Kurze Unterbrechung, es gibt einen zweiten Teil des Interviews, den wir in den nächsten Tagen

00:24:39: veröffentlichen werden, um ihn nicht zu verpassen, abonnieren Podcast und wie immer teilen und liken.