Vom Betriebspraktikum zum Cybersecurity-COO: Die unglaubliche Story von Jan Hörnemann | Teil 2 | EP 32

00:00:00: Aber schön, dass du sagst, es ist natürlich immer schwer zu messen, woher kommt jetzt der dedizierte Lied, kann man schon messen, wenn man es abfragt.

00:00:07: Aber im Endeffekt, du hast recht, das ist eine Synergie aus verschiedenen Trust-Elementen.

00:00:13: Und das ist ja auch das, was diese klassische Trusted-Advisorrolle zu Tage auch irgendwie ein Stück weit darstellt.

00:00:19: Du hast eine gewisse Außenrepräsentation durch Value Creation, wie du sagst, mit eurem Podcast, Konferenzen, Aufzeichnungen davon.

00:00:28: Und das hebt euch natürlich als Unternehmen auch nach vorne.

00:00:31: Das ist aber nichts, wo du direkt misst, dadurch kommt jetzt der Lied, sondern das ist eher der Nebeneffekt, weil vielleicht Leute, die die Konferenz besuchen,

00:00:43: die sich im Hinterkopf behalten und dann vielleicht entsteht da irgendwann mal ein Lied draus und generell im IT B2B sind die Saleszykler in der Teilweise mitunter sehr lang.

00:00:52: Das kann dann mal sechs bis neun Monate dauern, bis dann ein dediziertes Closing zustande kommt.

00:00:57: Wenn ihr jetzt z.B. die PEN-Tests macht, jetzt gehe ich mal davon aus, ohne euer Geschäftsmodell exakt zu kennen, dass bei euch größtenteils wahrscheinlich auch once-off sein wird.

00:01:08: Gebe ich mal an, typisches Breckgeschäft, da hängt ein gewisses Preisschild, je noch Unternehmensgrösser.

00:01:14: Würde mich grundsätzlich einfach interessieren, habt ihr auch eine MRA-Komponente, wo ihr auch wiederkehrende Umsätze generiert oder kämpft ihr, um den Auftrag zur Auftrag. Wie ist das bei euch?

00:01:28: Gemischt. Also wir haben recht viele Kunden, die tatsächlich dann mal so ein PEN-Test machen, weil irgendwie einen Lieferant das vordert oder einen Gesetzgeber das vordert oder weil, weiß ich nicht, der neue IT-Light auf die Idee gekommen ist, ein PEN-Test macht vielleicht mal Sinn.

00:01:42: Was wir aber auch gerade jetzt so, ich würde sagen, in dem letzten halben Jahr extrem merken, ist die Veränderung der Regulatorik.

00:01:49: Also gerade auch, wenn man den Ausschreibenmarkt beobachtet, wir nehmen an recht vielen Ausschreibungen ein Teil. Die sind alle mittlerweile sehr langfristig aufgebaut, dass so was wie Rahmenverträge vereinbart werden, weil man soll ja regelmäßig zum Beispiel den Penetrationstestanbieter wechseln, damit nicht immer der Gleiche da draufguckt, damit man auch mal so ein bisschen eine andere Meinung sich einholt.

00:02:12: Aber das BSI empfiehlt zum Beispiel, dass man das mindestens alle drei Jahre einmal wechselt, auch so ein Prüfer alle drei Jahre einmal wechselt und in den nächsten zwei, drei Jahren, dass man dann erstmal einen festen Partner mit im Boot hat, der ihn vielleicht nicht nur bei den Penetrationstests, sondern auch als externer ISB oder mit Fishing Simulation oder sowas unterstützt.

00:02:31: Da merken wir schon gerade, dass auch der Markt nach langfristigaren Bindungen sucht. Und das ist natürlich für uns auch total interessant, weil das ist auch ein größerer Mehrwert für den Kunden, weil man dann viel besser in dieses Sparring gehen kann.

00:02:45: Ich kann ja jetzt ein Penetration machen, ich gehe in die Firma, finde einige Sachen, schieb den den Bericht zu, biete vielleicht zwei, drei Wochen später noch mal den Re-Test an.

00:02:54: Und wenn ich dann nie wieder was von dieser Organisation höre, fühlt sich das irgendwie nicht so hundertprozentig richtig an, sondern der richtige Weg wäre dann ja nächstes Jahr vielleicht nochmal eine spezielle Sicherheitszüge sich anzugucken und dann vielleicht zum nächsten Netzwerksegment zu gehen, zu der Tochterfirma und so gemeinsam zu erarbeiten, dass das Sicherheitsniveau höher wird.

00:03:13: Und da merken wir gerade, dass das von diesem klassischen Projektgeschäft so, wie du gerade sagtest, einmal quasi rein, Bericht abgegeben und wieder raus und nie wieder was zu hören, deutlich mehr zu langfristigeren Bindungen geht.

00:03:23: Spannend zu hören, finde ich auch sinnvoller, weil ich denke mir, dass ganz oft wenn du jetzt ein Pen-Test durchführst, dann machst du das, du übergibst das und dann hast du, wie du gerade gesagt hast, eventuell ein Re-Test, aber das ist ja auch wieder ein Upselling, wieder eine Investition im Ende des Tages.

00:03:40: Ich glaube, im Ende des Tages braucht es eine Begleitung, ein Sparings-Partner, der halt auch über einen längeren Zeitraum letztlich auch da ist und vielleicht auch einfach nur regelmäßige Check-Ins mit den IT-Lern macht, wie geht es mit der Implementierung voran, wie so ein Rechenschafts-Buddy, der das Ganze einfach begleitet.

00:03:57: Weil ich kann mir vorstellen, bei vielen Unternehmen merken wir es ja selber bei unserem Cyber Incident Zeugs, wenn du dann die Unternehmen plötzlich sechs bis zwölf Monate später nochmal in einem Kontext siehst, auch im technischen Zusammenhang, der hebt sich die Hände hoch und denkst ja, ihr habt absolut nichts verändert an der Situation, die ihr da habt, erwartet aber andere Ergebnisse.

00:04:17: Okay.

00:04:18: Spannend, spannend.

00:04:20: Okay.

00:04:20: Ja, was haben wir noch?

00:04:23: Ich schaue mal ganz kurz auf meine wunderschöne Fragenliste, die ich vorbereitet habe.

00:04:26: Keine Angst, ich werde nicht alle fragen.

00:04:28: Genau.

00:04:30: So, ja, dann Thema Systematisierung.

00:04:35: Ich glaube, du hast vorhin was angesprochen, was ich ganz interessant finde, dass du gesagt hast, Skalierung ist für IT-Unternehmen.

00:04:41: Jetzt zum Beispiel, dass sie sagt, der wächst von 30 auf 100 Mitarbeiter, nur schwer möglich.

00:04:47: Warum glaubst du, ist das so?

00:04:49: Erste Frage, zweite Frage.

00:04:52: Was habt ihr bis jetzt implementiert, um eine gewisse Standardisierung dort reinzubringen?

00:04:58: Das heißt, jetzt für Triebsprozesse, Angebotsprozesse ist das alles gestreamlined.

00:05:02: Ja, also ich glaube, das liegt nicht daran, dass wir im IT-Business unterwegs sind, dass dieses exponentielle Wachstum unüblich ist, sondern dass wir klassischen Dienstleister sind.

00:05:15: Ich meine, wir können unsere Mitarbeiter, also die Anzahl der Mitarbeiter weiter aufbauen und ausbauen, wenn wir neue Projekte gewinnen und am besten natürlich auch langfristige Projekte.

00:05:25: Weil, also muss ich dir nicht erzählen, als Geschäftsführer, wenn wir jetzt einen riesen Projekt bekommen, was uns das nächste halbe Jahr zehn neue Mitarbeiter komplett auslastet.

00:05:34: Super, nur genau, wenn dann kein Folgeprojekt kommt oder nicht der Anzahl an neuen Kunden dazukommt, ist es natürlich ein extrem hohes wirtschaftliches Risiko.

00:05:44: Genau, also wir merken, der Bedarf an unserer Dienstleistung im Bereich der IT-Sicherheit, der nimmt weiterhin zu und er wird auch vermutlich durch die Gesetzgebung das Waage, ich meine, ganz mutig zu prognostizieren, weiter zunehmen, so dass wir weiter wachsen können, aber nicht exponentiell, weil, also da ist das wirtschaftliche Risiko, sich einfach mit großen Projekten zu verheben, ja, stand jetzt einfach zu hoch.

00:06:06: Deswegen vermute ich, dass wir weiterhin eher linier, gesund wachsen, anstatt da jetzt exponentiell Sprünge zu tun.

00:06:13: Wir tun aber einiges dafür, dass wir weiter wachsen können und dass wir dann auch wirklich irgendwann mal, ich sag mal, 50, 60 Mitarbeiter werden können.

00:06:21: Wir sind selbst nach der 27.001-Zertifiziert, also ich meine, also wir beraten in einem Kontext, das wäre recht blöd, wenn wir selbst nicht hätten, aber auch die 9001, also die ISO 9001 ist ja fürs Qualitätsmanagement.

00:06:36: Ein sehr prozessgesteuertes Management-System, da sind wir jetzt vor anderthalb Monaten, glaube ich, frisch erst zertifiziert worden, dass wir diese Thematiken, die wir durchführen, onboarding, Vertriebangebot erstellen und all diese täglichen Sachen wirklich in Prozesse gießen, dass wir Verantwortliche für diese Prozesse haben, Stellvertreter dafür haben und dass das alles deutlich geordneter und strukturierter läuft als, also ich habe jetzt das große Privileg, dass ich noch unsere Start-up-Zeit vor sechs Jahren verzeichne, dass ich jetzt das große Privileg, das ich noch in unsere Start-up-Zeit vor sechs Jahren, verzeichne, was ich für eine Artikade in der

00:07:06: next Jahr mitbekommen habe. Also ich bin sehr froh, dass Mitarbeiter, die jetzt zum Beispiel am ersten Zehnt bei uns anfangen, ein anderes onboarding genießen dürfen, als ich damals. Also ich habe total Spaß bei meinem onboarding, weil keiner wusste so richtig, was jetzt los ist und das ist heutzutage halt nicht mehr so. Und da versuchen wir wirklich tagtäglich besser zu werden, einfach die Strukturen zu schaffen, dass wir kein Start-up mehr sind, sondern wirklich einfach ein kleines Unternehmen aus Gelsenkirchen, das genau nicht mehr zu viele Start-up-Vibes hat, sondern auf gesunden Füßen steht.

00:07:37: Das erinnert mich in der Kleinigkeit. Ich habe mal von der Zeit ein TED Talk gesehen von den Gründern von Y Combinator aus den USA. Und der hat einen Vortrag darüber gehalten, die haben quasi analysiert, die drei oder viertausend Start-ups, die sie da aufgebaut haben, was denn die wichtigsten Erfolgsfaktoren dieser Start-ups waren. Und jetzt hängt man natürlich instinktiv so die Idee, die Gründer, so denkst du,

00:08:06: so ursprünglich, aber das, was ich rausgestellt habe, die wichtigste Komponente für den Erfolg war Timing. Und das sehe ich bei euch letztlich ein Stück weit auch so.

00:08:16: Ihr habt momentan ein wunderschönes Momentum, das natürlich durch diverse Regulatorien, die jetzt auch durch NIST 2 und Co. aufschlagen. Euer Geschäftsmodell natürlich auch unglaublich geboostet wird.

00:08:27: Das heißt, ihr sitzt in einem Boot, das Vollgas in die richtige Richtung fährt. Schön zu sehen. Das kann man natürlich sagen, aber das ist, glaube ich, einfach ein Problem, was wir natürlich im Dachbereich, gerade auch wirtschaftlicher leben, das andere Branchen ganz anders trifft.

00:08:46: Die stark gebeutelt werden, man sitzt da natürlich mit dem, was ihr macht, gerade in einem Cyber-Thema, aber auch Awareness-Thema, da hast du halt die nächsten Jahre wirklich viel zu tun.

00:08:59: Und ich glaube, das ist auch ein bisschen Learning für die Zuhörer, sich auch auf dem Gisse-Markt-Bedingungen einzulassen, die förderlich sind, dass du nicht gegen Windmullen läufst am Ende des Tages, wenn du was aufbaust.

00:09:09: Okay, so jetzt noch ein, zwei private Fragen, mein Lieber, und zwar beziehungsweise Ratschläge und Zukunftsaussichten. Heißt das hier in meiner wunderbaren Übersicht, welche drei Fehler sollte jedes IT-Unternehmen vermeiden, wenn es skalieren möchte?

00:09:25: Boah, die Frage jetzt mir vorstellend soll, woher diese so spontan, das ist gar nicht so einfach. Welche drei Fehler sollte ein IT-Unternehmen machen bevor es fertig ist? Also, war die Frage gestellt, ob Fehler nicht gemacht werden sollen oder gemacht werden sollen?

00:09:48: Interpretier ist frei.

00:09:49: Du kannst auch einfach so, wenn man vielleicht einfach von euren eigenen Learnings als Unternehmen der letzten Jahre, wo habt ihr gemerkt, das war echt ein Riesenfehler, in die eine oder andere Richtung zu laufen oder das Thema zu verfolgen, das Angebot zu verfolgen, wo ich wirklich gemerkt habe, das war absoluter Käse, zum Beispiel.

00:10:09: Ja, okay, also zwei Sachen fallen mir ein, vielleicht bei mehr als zehn fällt mir vielleicht noch eine Dritte ein. Zu schnell wachsen, also tatsächlich dieses, ich kann jetzt nicht, ich habe die Mitarbeiterzahlen nicht mehr genau im Kopf, aber ich sage einfach mal so, für eine Größenordnung, dass wir von 15 Mitarbeitern in einem Monat dann so ungefähr drei oder vier Leute eingestellt haben, also wirklich dann, genau, du, ich konntest an deiner Reaktion in der Webcam schon sehen, da hat man dann ja irgendwie, boah, weiß ich nicht, auf jeden Fall einen zweistelligen Prozentansatz an Wachstum, das funktioniert nicht.

00:10:40: Die, also die Personen, die bekommen kein strukturiertes Onboarding, wie sie es verdient hätten, die können nicht abgeholt werden, was deren Aufgabe ist, welche Erwartungen in, in diese Position jetzt gesteckt wird, wie die Organisation funktioniert und das nimmt dann ganz schnell Eigendynamiken an, die, die bekommt man nicht mehr eingefangen, also das, das mussten wir auch feststellen, dass zu schnelles Wachstum einfach nicht hilft, also das ist vielleicht kurzfristig schön zu sagen, wir sind 50 Mitarbeiter, aber das hilft langfristig auf gar keinen Fall.

00:11:09: Im gleichen Atemzug geht es so ein bisschen in eine ähnliche Richtung, dass man Projekte annimmt oder bespielt, die nicht zu 100% der Fit der eigenen Organisation sind, also super, super wichtig, also total spannend, gerade als wachsende Organisation, wenn man sich irgendwie im Markt festigen will, ist der Hang ja schnell dazu zu sagen,

00:11:39: "Ja, kriegen wir hin?" "Ja, machen wir mit."

00:11:37: Weil also, ein Angebot auszuschlagen,

00:11:39: das ist ja wirklich gerade in der Gründungsphase super schwierig.

00:11:43: Aber wenn es nicht der Fit ist von den Leuten, die man da hat,

00:11:48: dass nicht deren ...

00:11:50: Also, unsere Pentester, die brennen alle fürs Pentesting.

00:11:53: Wenn ich denen jetzt sagen müsste, ihr müsst dabei morgen

00:11:56: beraten und ein internes Auto durchführen,

00:11:58: die würden zu Recht mehr an die Gurkel springen.

00:12:00: Das wollen die nicht, das ist nicht deren Aufgabe.

00:12:03: Das ist ja auch nicht da bei der USF.

00:12:05: Und dass man da guckt, dass man wirklich Aufträge annimmt

00:12:09: oder versucht zu bespielen,

00:12:11: die bestmöglich zu der Organisation fitten.

00:12:14: Das geht nicht immer zu 100 Prozent,

00:12:16: aber man darf das nicht aus den Augen verlieren.

00:12:18: Das sind so die zwei Sachen, die mir sehr spontan eingefallen sind.

00:12:22: Ja, ich glaube, ich würde es dabei belassen.

00:12:26: Ich glaube, es ist eine gute Geschichte,

00:12:28: die man so in die Richtung erzählen kann.

00:12:30: Hast du zwei sehr, sehr wichtige Punkte angesprochen.

00:12:33: Ich meine, schnelles Wachstum kann funktionieren,

00:12:36: wenn die richtigen Onboarding-Prozesse implementiert sind.

00:12:40: Ob das jetzt ein videogeführter Onboarding-Kurs

00:12:42: für ein Mitarbeiter ist, mit einer Wiki, wo er genau sieht,

00:12:45: so läuft die Struktur bei uns, das sind deine Tools,

00:12:48: das ist dein Setup.

00:12:50: Aber, und das ist das grundsätzlich schon Thema,

00:12:53: wenn du halt vier, fünf Leute auf einen Schlag dazu nimmst,

00:12:56: weil du halt ein großes Projekt hast

00:12:58: und das keine Strukturen dahinter, das fliegt dir um die Ohren.

00:13:02: Und du hast da aus, weil du den ganzen Tag

00:13:04: versuchst, irgendwelche Brände zu löschen.

00:13:06: Die Mitarbeiter sind auch ein bisschen lost,

00:13:08: die auch noch nicht klar wissen, was mache ich jetzt eigentlich,

00:13:11: was ist mein Scope of Work?

00:13:13: Bin ich zu 100 Prozent bei dir.

00:13:15: Weiter Punkt, und das ist noch viel, viel wichtiger für alle Zuhörer,

00:13:19: Konzentration auf das Kerngeschäft.

00:13:22: Und in 90 Prozent der Fälle, nein, sagen, ist zehnmal besser.

00:13:26: Weil das ist das rupftig sonst,

00:13:28: und das habe ich früher den Fehler genauso gemacht,

00:13:31: dass ich hier angefangen habe, gerade als Start-up.

00:13:34: Du ziehst dir jeden Auftrag, du denkst, das ist gut.

00:13:37: Da könnten wir ein Webdesign machen.

00:13:39: Da könnten wir den Computer von Tante Emma reparieren.

00:13:42: Da könnten wir das machen, weil die Flut an Leeds,

00:13:44: die du kriegst, ist doch recht breit.

00:13:46: Und das führt eigentlich im Endeffekt nur dazu,

00:13:49: dass du selber keinen Fokus hast, du kannst nicht standardisieren

00:13:53: und du kannst auch nicht brillant und exzellent sein,

00:13:56: neben was du tust.

00:13:57: Wie du gerade schon meinst, mit dem Pen-Test,

00:13:59: dass du selbst Projekte machen,

00:14:01: das bringt vor allem Kunden nichts.

00:14:03: Und du hast die schlimmste Zeit in deinem Leben.

00:14:06: Ja, fühle ich, fühle ich, fühle ich.

00:14:08: Okay, dann, zweite Frage noch.

00:14:10: Wo siehst du persönlich die größten Chancen

00:14:14: im IT-Sicherheitsbereich in den nächsten fünf Jahren?

00:14:19: Sagen wir mal, wir haben jetzt jemanden, der zuhört

00:14:22: und über eine Neupositionierung nachdenkt,

00:14:25: wo glaubst du, geht die Reise hin?

00:14:27: Also ganz grob im Markt, wo siehst du Opponitäten,

00:14:30: wo du das Gefühl hast, das könnte was sein.

00:14:33: Ich glaube, ein ganz großes Fragesteichen

00:14:35: auch bei vielen Kunden, was wir gerade merken,

00:14:38: ist einfach diese Regulatorik.

00:14:40: Also dieses ganze Thema, es gibt unzählige Normen,

00:14:44: nachdem man sich freiwillig teilweise zertifizieren lassen kann.

00:14:47: VDS 10.000, ISO 27.001 und Tee sagst du.

00:14:51: Und was es nicht alles gibt.

00:14:53: Und dann kommt jetzt so ein bisschen der Gesetzgeber auch noch

00:14:56: an, dass man es machen muss.

00:14:58: Also dass man sich mit Kritis beschäftigen muss.

00:15:00: Da werden die Schwellwerte gefühlt auch jedes zweite, dritte Jahr

00:15:03: weiter runtergesetzt, so dass immer mehr Fährsorger, Endsorger

00:15:07: diese Schwellwerte reißen.

00:15:09: NIS 2, teilweise Organisationen ab 50 Mitarbeitende

00:15:12: und der 10.000.000 Euro Jahresumsatz sind dann betroffen.

00:15:15: Diese Regulatorik trifft immer mehr Organisationen.

00:15:18: Und teilweise gibt es dann auch Organisationen.

00:15:21: Zum Beispiel in der Endsorgung haben wir den einen oder anderen Kunden,

00:15:25: die dann nach fünf oder sechs verschiedenen Normen

00:15:28: wirklich zertifizieren lassen.

00:15:30: Also gesetzlich. Dann haben wir sowas wie Umweltmanagement,

00:15:33: Energiemanagement, Qualitätsmanagement,

00:15:35: Informationssicherheitsmanagement.

00:15:37: Ich will die Zuhörer nicht langweilen.

00:15:39: Nur da ist mir zum Beispiel jetzt aktuell viel mit Tool-Unterstützung

00:15:43: gemacht. Also es gibt ja Very Nice und Arthéryon.

00:15:46: Ich werde gar keine Werbung für die verschiedenen Tools machen,

00:15:49: aber es gibt ja ganz, ganz viele.

00:15:51: Und es gibt noch keins, wo ich wirklich sagen würde,

00:15:54: boah, das finde ich richtig, richtig gut.

00:15:57: Gerade der IT-Grundschutz, der ist ja sehr umfangreich

00:16:00: und sehr durchstrukturiert.

00:16:03: Also da muss man mit dem IT-Grundschutz check und so.

00:16:06: Also sehr prozessuale Schritte durchführen.

00:16:08: Und da ist eine Tool-Unterstützung total hilfreich.

00:16:11: Auch für eine 27.001, also eine Tool-Unterstützung

00:16:14: für sowas wie ein Risikomanagement, wirklich gut.

00:16:17: Also wenn das Hut umgesetzt wird, gut gelebt wird, perfekt.

00:16:20: Nur da in Zukunft diese ganzen unterschiedlichen Anforderungen,

00:16:24: wirklich pragmatisch in einen Tool, in einen Workflow,

00:16:27: zu mapen, zu integrieren.

00:16:29: Ich glaube, da steckt viel Potenzial.

00:16:31: Ich weiß aber auch nicht, ob man das gehoben kriegt.

00:16:34: Weil also gerade nach der Corona-Zeit

00:16:36: gab es so viele Neugründungen von irgendwelchen Tools,

00:16:40: die das irgendwie schnell gemacht haben.

00:16:43: Also wenn wir zu einem neuen Kunden kommen,

00:16:45: ist die Wahrscheinlichkeit gar nicht so gering, dass er sagt,

00:16:48: ja, wir haben ja schon mal angefangen mit dem und dem Tool,

00:16:51: aber die funktionieren ja alle recht ähnlich.

00:16:53: Nur es gibt keins, was mich wirklich so umgehauen hat,

00:16:56: dass ich sage, damit empfehle ich jetzt wirklich konkret

00:16:59: für fast alle meine anderen Kunden.

00:17:01: Weil das wirklich hilfreich ist.

00:17:04: Das heißt, für alle Software-Ersteller, die zuhören,

00:17:07: da liegt auf jeden Fall eine Chance.

00:17:09: Potenzial, also ich glaube, es ist eine sehr schwierige Chance,

00:17:12: also die regulatorisch einzufangen.

00:17:14: Ich will jetzt auch gar nicht gegen die ganzen Tools haten oder so was.

00:17:18: Ich glaube, das ist wahnsinnig komplex und wahnsinnig schwierig.

00:17:21: Für einzelne Use-Cases schon gute Tools,

00:17:24: also wenn man jetzt irgendwie sagt, ich will nur 27.000 oder nur den Grundschutz machen,

00:17:28: da findet man was und da findet man auch wirklich was Gutes.

00:17:31: Nur, ich glaube, dass diese Kombination immer größer wird.

00:17:34: Also dieses Umweltmanagement und dann doch NIST 2

00:17:36: und dann hier doch wieder was aus der Kritisverordnung.

00:17:39: Dadurch diese ganze Kombination,

00:17:41: diesen unterschiedlichen Richtungen der Regulatorik,

00:17:44: dass man da vielleicht an diesen Tools entweder Erweiterungen entwickeln kann

00:17:48: und da habe ich eine ganz neue Idee, wie man so was aufbauen kann.

00:17:52: Ein Freund von mir, der Fabian,

00:17:55: der ist auch sehr aktiv mit seinem Unternehmen mit ISO 27.001

00:18:01: und wir tauschen uns unternehmerisch halt ab und dann mal aus.

00:18:04: Und er hat auch gesagt, die Bude brennt.

00:18:07: Die haben so viel Arbeit,

00:18:10: weil eben, wie du schon sagst, die Regulatorik,

00:18:12: die auch immer mehr im Dachbereich, aber auch international, denke ich, anzieht,

00:18:17: spielt denen genauso wie euch letztlich auch mit den ganzen Pan-Tests,

00:18:21: die vielleicht Voraussetzungen sind für,

00:18:23: wir haben es teilweise schon bei Versicherungen erlebt.

00:18:26: Das ist der Grundstein, das ist natürlich ein Pro-,

00:18:29: vorab proaktiven Check gibt, aber auch teilweise komplexere Pan-Tests

00:18:32: bei größeren Unternehmen, bevor die Versicherungen die onboarden.

00:18:36: Also man merkt, dass man da auch von dem Markt

00:18:38: einfach getrieben wird als Unternehmen.

00:18:41: Ob man das jetzt gut oder schlecht findet, das sei jedem selbst überlassen,

00:18:44: das kann man, denke ich, mal individuell bewerten.

00:18:47: Und der Punkt ist, es sind halt nur mal die Marktbedingungen,

00:18:50: die in diese Richtung drücken.

00:18:52: Und ich denke mal, mit Europa und der EU generell,

00:18:55: da wird uns die nächsten Jahrzehnte auch noch mehr erwarten.

00:18:58: Dann letzte Frage, und dann haben wir es für heute nämlich,

00:19:03: wie sieht es denn jetzt bei dir persönlich die nächsten fünf Jahre

00:19:07: bei Aware 7 aus?

00:19:09: Wo siehst du dich in fünf Jahren?

00:19:12: Willst du bis dahin die komplette IT-Landschaft übernommen haben

00:19:15: im Unternehmen oder willst du dich persönlich auch weiterentwickeln

00:19:18: und eine weitere Rolle einnehmen?

00:19:21: Oh, ja, spannende Frage.

00:19:23: Am liebsten würde ich in fünf Jahren

00:19:25: genau am gleichen Platz sitzen und mit dir im Podcast aufnehmen.

00:19:29: Cool. - Termin können wir uns gleich im Kalender setzen.

00:19:32: Das ist ein Wort.

00:19:33: Spaß beiseite, ich promovier gerade.

00:19:35: Die Promotion will ich auf jeden Fall

00:19:37: eigentlich im nächsten halben Jahr abgeschlossen haben.

00:19:39: Das ist aber so ein persönliches Thema.

00:19:42: Dass wir uns eigentlich mit der Firma und dem aktuellen Geschäftsführer

00:19:46: einfach weiter in die gleiche Richtung versuchen zu wachsen,

00:19:50: wie wir es so in dem letzten Jahr jetzt getan haben.

00:19:52: Also das wieder weiter Prozesse vorhaben.

00:19:55: Und dass wir dann ein ganz gesundes, je nach Definition,

00:19:58: kleines, mittelständisches Unternehmen sind.

00:20:01: Genau, weiß ich nicht, 60, 70, 80 Mitarbeiter.

00:20:04: Und einfach ein bisschen bekannter sind im Dachraum, primär in NRW.

00:20:08: Und dass wir da einfach uns darum kümmern können,

00:20:11: dass die Informationssicherheit bei den Organisationen besser ist.

00:20:14: Weil also die, ich glaube, der Bedarf ist wirklich groß.

00:20:19: Gerade so, wenn man kritisunternehmen betreut.

00:20:22: Also einen Fährsorger oder einen Endsorger,

00:20:25: wenn solche Organisationen lahmgelegt sind.

00:20:28: Dann ist es klar, es ist irgendwie doof,

00:20:31: weil dann vielleicht der Auftrag nicht funktioniert,

00:20:33: aber das ist völlig zweitrangig.

00:20:35: Weil ich glaube, ein gutes Beispiel ist die Siedlungsabfallentsorgung.

00:20:39: Wenn eine Woche lang der Müll nicht abgeholt wird,

00:20:42: dann haben wir ganz schön große Probleme.

00:20:44: Ich schätze, du hast das Buch "Blackout" auch gelesen,

00:20:47: von diesem Marc Ellsberg, heißt er, glaub ich.

00:20:49: Ich schreib's mir auf die Liste, versprochen.

00:20:51: Oh, super Buch, super Buch.

00:20:53: Genau, in diesem Buch, ich glaub, da gibt's sogar ein Film drüber.

00:20:56: Da wird auch beschrieben, dass da waren Stromzäler manipuliert,

00:21:00: die haben dann auch dafür gesorgt, dass das ganze Netz zusammenbricht.

00:21:04: Wenn so was wie der Müll nicht abgeholt wird,

00:21:06: dann haben wir hier in ein, zwei Wochen ganz andere Probleme,

00:21:10: als dass irgendwelche Rechnungen der Re7 nicht bezahlt werden.

00:21:13: Und ich glaube, da haben wir extremen Nachholbedarf in Deutschland

00:21:16: bei vielen Kritisbetreibern,

00:21:18: kleinen und mittelständischen Organisationen.

00:21:21: Und da würden wir gerne einfach als Re7 mit einer der Vorreiter sein,

00:21:24: die dann, wenn die Organisation merkt, wir haben ja Nachholbedarf.

00:21:28: Ich kenne eine Organisation aus Gelsenkirchen,

00:21:30: die sitzt im Wissenschaftspark

00:21:32: und hat sich da Stück für Stück vergrößert.

00:21:35: Die können uns helfen.

00:21:36: Und dass wir dann genau da für unterstützen können,

00:21:39: dass wir einfach ein bisschen besser digital sich aufgestellt sind.

00:21:43: Egal, ich find das sehr schön, dass ihr so ein Missionsgedanken habt,

00:21:46: der über das reine Unternehmen richtig hinausgeht.

00:21:49: Das macht auch im Ende des Tages viele erfolgreiche Unternehmen aus.

00:21:52: Dass sie eben nicht dem Geld hinterherlaufen,

00:21:55: weil das ist immer so ein bisschen Geldkompf von ganz alleine.

00:21:58: Wenn du einen geilen Job machst und Mehrwert für Leute stiftest

00:22:01: und in eurem Fall auch noch die Missionsgedanken dahinter habt,

00:22:05: ich sag jetzt mal vorsichtig, Deutschland sicherer zu machen,

00:22:08: das bezieht sich vermutlich auch auf Österreich oder die Schweiz.

00:22:11: Ihr werdet ja vermutlich auch Ländergrenzen übergreifend arbeiten.

00:22:15: Gefällt mir sehr gut.

00:22:17: Jan, jetzt haben wir flotte 45 Minuten gerockt.

00:22:22: Ich bedanke mich ganz herzlich, dass du dir heute die Zeit genommen hast.

00:22:25: Für alle, die zuhören, ich werde unten in den Shownauts

00:22:28: noch ein paar Informationen zur AWARE 7 posten.

00:22:33: Und auch Jan's Profil hier vermutlich auf LinkedIn.

00:22:37: Ist der beste Kanal, dich zu erreichen?

00:22:39: Ja, das glaub ich das einfachste. - Perfekt.

00:22:41: Werd ich unten alles in die Shownauts packen,

00:22:43: merkt euch, wenn es ums Thema Pen-Test geht

00:22:46: oder eben auch dahingehende Beratung,

00:22:49: Live-Hacking, saugeil, echt so empfehlen.

00:22:52: Wenn du mal eine Veranstaltung habt, wo jemand einen Lektor braucht,

00:22:55: der richtig abliefert, behaltet ihn Jan im Hinterkopf.

00:22:59: Und dann bedanken wir uns, dass ihr euch heute die Zeit genommen habt,

00:23:02: um euch zu hören.

00:23:03: Danke für die warmen Worte, Janosch.

00:23:05: Danke an alle Zuhörer, danke für die Einladung.

00:23:08: Ich freu mich auf die nächste Folge.