[ { "start": 0.0, "end": 4.3, "text": " Dieser Inhalt wurde von der Presse in redaktioneller Unabhängigkeit gestaltet." }, { "start": 4.3, "end": 8.9, "text": " Er ist mit finanzieller Unterstützung unseres Kooperationspartners entstanden." }, { "start": 8.9, "end": 17.2, "text": " Cyberangriffe, Datenschutzverletzungen, neue Regulierungen." }, { "start": 17.2, "end": 21.8, "text": " Die Anforderungen an Cloud-Anbieter in Europa nehmen kontinuierlich zu." }, { "start": 21.8, "end": 25.5, "text": " Genau hier setzt das EU-Projekt Emerald an." }, { "start": 26.0, "end": 33.5, "text": " Mit einem innovativen Zertifizierungsframework soll es Sicherheitsstandards und Compliance-Prozesse deutlich effizienter machen." }, { "start": 33.5, "end": 40.5, "text": " Im Rahmen der Cybersecurity-Schwerpunktwoche spricht Eva Komarek im Presse-Studio mit Björn Fanta," }, { "start": 40.5, "end": 43.5, "text": " Geschäftsführer der Fabersoft Research GmbH," }, { "start": 43.5, "end": 50.5, "text": " über die Ziele von Emerald und über Wege, wie digitale Sicherheit in Europa zukunftsfähig gestaltet werden kann." }, { "start": 51.0, "end": 56.5, "text": " Alle Beiträge zur Themenwoche finden Sie unter depresse.com/cybersecurity." }, { "start": 56.5, "end": 62.5, "text": " Herr Fanta, das EU-Projekt Emerald klingt nach einem recht technischen Begriff." }, { "start": 62.5, "end": 68.0, "text": " Was steckt denn dahinter und warum ist denn gerade jetzt so relevant für Cloud-Anbieter in Europa?" }, { "start": 68.0, "end": 70.5, "text": " Natürlich ist es ein technisches Projekt, das stimmt." }, { "start": 70.5, "end": 73.0, "text": " Es ist auch ein Innovationsprojekt auf EU-Ebene," }, { "start": 73.0, "end": 78.5, "text": " wo wir verschiedene Nachweise automatisieren wollen, standardisieren wollen," }, { "start": 78.5, "end": 85.0, "text": " aber mal von diesen ganzen technischen Aspekten weg ist der Zeitpunkt, sich mit solchen Themen auseinanderzusetzen," }, { "start": 85.0, "end": 93.0, "text": " gerade jetzt in der ganzen Diskussion über Vertrauen, Souveränität von europäischen Cloud-Anbietern oder Cloud-Diensten sehr zentral." }, { "start": 93.0, "end": 97.0, "text": " Es gibt sehr viel, was sich dort bei uns ändert, wo man drüber nachdenkt," }, { "start": 97.0, "end": 103.0, "text": " inwiefern man laut Anbieter in Europa unterstützt, sichere Dienste anzubieten." }, { "start": 103.0, "end": 111.0, "text": " Und dort ist ein Projekt, wie Emerald, genau im Zentrum drin, um eben sehr hohe Zertifizierungsstandards," }, { "start": 111.0, "end": 119.0, "text": " sehr hohe Sicherheit auch zu Unternehmen zu bringen, die eventuell nicht 20, 30 Mannabteilungen auf dieses Thema ansetzen können." }, { "start": 119.0, "end": 122.0, "text": " Das heißt, es geht darum, Komplexität zu reduzieren," }, { "start": 122.0, "end": 126.0, "text": " Anwendungen in der Cybersecurity Zertifizierung zu unterstützen" }, { "start": 126.0, "end": 135.0, "text": " und dort Dinge zu vereinheitlichen und möglich zu machen und eben alle Anbieter und alle Unternehmen, die wir in Europa in diesem Bereich haben, auch mitzunehmen." }, { "start": 135.0, "end": 139.0, "text": " Vielleicht können Sie ein bisschen detaillierter auf diesen Ansatz eingehen," }, { "start": 139.0, "end": 146.0, "text": " wie konkret hilft den Unternehmern jetzt, ich sage mal, auch Zeit, Geld und Ressourcen bei der Einhaltung von so Sicherheitsstandards einzusparen?" }, { "start": 146.0, "end": 153.0, "text": " Da gibt es mehrere Ansätze, ich würde glaube ich mal zwei für dieses Gespräch herausgreifen, die dort zielführend sind." }, { "start": 153.0, "end": 159.0, "text": " Und zwar einerseits die Vereinheitlichung von Anforderungen und Standards, wie ich sie kurz angesprochen hatte," }, { "start": 159.0, "end": 169.0, "text": " dass man eben sagt, inwiefern kann ich bestimmte Sicherheitsanforderungen und Risikoabschätzungen schon mal so beschreiben," }, { "start": 169.0, "end": 177.0, "text": " dass sie für mich verständlich und greifbar werden, dass ich also nicht vor einer großen Mauer und Herausforderung stehe, was muss ich eigentlich tun?" }, { "start": 177.0, "end": 183.0, "text": " Das andere ist, den Anwender, den Nutzer auf unterschiedlichen Ebenen zu begleiten." }, { "start": 183.0, "end": 189.0, "text": " Das ist das, was das Emerald Framework mit der digitalisierten Lösung dort anstrebt," }, { "start": 189.0, "end": 200.0, "text": " den gesamten Auditprozess für Compliance Verantwortliche, aber auch Implementierungsverantwortliche in einem Unternehmen mitzunehmen" }, { "start": 200.0, "end": 205.0, "text": " und auch die Auditoren auf dieser ganzen Auditprozessreise mitzunehmen." }, { "start": 205.0, "end": 208.0, "text": " Und dieses also in jedem Prozessschritt zu unterstützen." }, { "start": 208.0, "end": 216.0, "text": " Können Sie uns vielleicht ein bisschen skizzieren, wie so ein digital unterstützter Zertifizierungsprozess technisch funktioniert" }, { "start": 216.0, "end": 218.0, "text": " und was macht Ihnen so besonders?" }, { "start": 218.0, "end": 225.0, "text": " Wir haben uns dafür mit Forschungspartnern, in dem Fall tatsächlich einem österreichischen Forschungspartnern im europäischen Projekt," }, { "start": 225.0, "end": 228.0, "text": " den Auditprozess eines traditionellen Audits angeschaut." }, { "start": 228.0, "end": 236.0, "text": " Das heißt, wir haben in Firmen, die in diesem Projekt dabei sind, Fabersoft, Aionos oder CloudFaro oder auch die Keischer Bank aus Spanien beispielsweise," }, { "start": 236.0, "end": 244.0, "text": " angesehen, wie startet man mit einem gewünschten Zertifizierungsrahmen, wie fängt man an, diese Dinge aufzuteilen," }, { "start": 244.0, "end": 248.0, "text": " zu delegieren und zu schauen, wer ist für welchen Prozessschritt verantwortlich," }, { "start": 248.0, "end": 253.0, "text": " bis hin zur richtigen Implementierung einer technischen Kontrolle, also ganz runter." }, { "start": 253.0, "end": 261.0, "text": " Und dort dann auch zu sehen, wie werden diese Implementierungen und Fertigstellungen wieder zurück auf die Startebene gehoben." }, { "start": 261.0, "end": 265.0, "text": " Um dort zu sehen, bin ich mit meinem Zertifizierungsstatus fertig." }, { "start": 265.0, "end": 270.0, "text": " Das ist einfach mal ganz oberflächlich der Prozessablauf." }, { "start": 270.0, "end": 276.0, "text": " Und dort sitzen ganz viele kleine Teilschritte drin, von technischer Seite automatisiert werden können." }, { "start": 276.0, "end": 281.0, "text": " Das ist nicht immer die große Herausforderung, das schon technisch zu machen." }, { "start": 281.0, "end": 284.0, "text": " Man muss allerdings Ansätze neu denken." }, { "start": 284.0, "end": 291.0, "text": " Und was ich dort herausgreifen möchte, ist der Einsatz von Methoden der künstlichen Intelligenz," }, { "start": 291.0, "end": 297.0, "text": " um beispielsweise zu sehen, wie ich ganz große Datenmengen in Dokumenten überblicken kann" }, { "start": 297.0, "end": 304.0, "text": " und einem Compliance verantwortlichen und einem Auditoren beispielsweise Vorschläge zu geben." }, { "start": 304.0, "end": 308.0, "text": " Stehen hier die Informationen drin, die gesucht werden?" }, { "start": 308.0, "end": 314.0, "text": " Und wo habe ich diese Informationen gefunden, damit diese Aussage von dem System auch vertraut werden kann?" }, { "start": 314.0, "end": 318.0, "text": " Sie haben jetzt vorher gerade unter anderem als Pilotanwendung die Keischer Bank erwähnt." }, { "start": 318.0, "end": 321.0, "text": " Welche konkreten Learnings gibt es denn aus dieser Zusammenarbeit?" }, { "start": 321.0, "end": 324.0, "text": " Und wie hat das jetzt auch bei der DORA Verordnung geholfen?" }, { "start": 324.0, "end": 331.0, "text": " Also der Digital Operational Resilience Act, also sozusagen für die Finanzdienstleistung ein relevanter Standard?" }, { "start": 331.0, "end": 337.0, "text": " Ja, auf jeden Fall auch ein relevantes Vorhaben zum Thema Souveränität wieder, die DORA Initiative." }, { "start": 337.0, "end": 342.0, "text": " Inwiefern hat das geholfen? Das ist eine sehr gute Frage, denn was man dort in erster Linie gesehen hat," }, { "start": 342.0, "end": 346.0, "text": " ist, dass wir in all diesen Bereichen sehr individuell sind." }, { "start": 346.0, "end": 352.0, "text": " Die EU versucht seit einiger Zeit einen harmonisierten einheitlichen Standard, den EU-Defizit." }, { "start": 352.0, "end": 358.41, "text": " CES aufzustellen und umzusetzen. Den gibt es auch in den Entwurfsphasen. Er ist aber noch nicht operativ." }, { "start": 358.41, "end": 363.61, "text": " In dieser Zusammenarbeit in dem Emerald Projekt wollten wir den aufgreifen. Wir haben mit der" }, { "start": 363.61, "end": 370.23, "text": " Kaischer Bank gesehen, wenn man im Finanzsektor nach dem Dora-Standard komplement sein möchte," }, { "start": 370.23, "end": 377.67, "text": " muss man sich bestimmte Anforderungen für die Softwarefirmen und Hard-Befirmen, mit denen man" }, { "start": 377.67, "end": 385.07, "text": " arbeitet, selber aufstellen und Dora-konform definieren. Man ist also in einem Rahmen unterwegs," }, { "start": 385.07, "end": 391.75, "text": " der ganz speziell diesen Finanzsektor trifft. Zurückgespielt zu Emerald bedeutet das, wir mussten" }, { "start": 391.75, "end": 398.63, "text": " sehen, dass eine Firma wie die Kaischer Bank eigene Inhalte von Sicherheitskontrollen erstellen" }, { "start": 398.63, "end": 404.95, "text": " kann und sich quasi einen eigenen Sicherheitskatalog erstellt, der dann in dem System aufgegriffen" }, { "start": 404.95, "end": 411.19, "text": " werden kann und einen Anbieter wie die Fabersoft oder Cloud Ferro in dem Projekt Dienste nach diesem" }, { "start": 411.19, "end": 417.43, "text": " Anforderungskatalog zertifizieren könnten, also compliant dazu sind, ist das bessere Wort. Und" }, { "start": 417.43, "end": 423.43, "text": " das ist dann eben losgelöst von einem EUCS oder einem BSI C5, dem deutschen Standard beispielsweise." }, { "start": 423.43, "end": 428.67, "text": " Inwiefern trägt denn das Projekt auch dazu bei, bei den europäischen Datenschutzstandards, also" }, { "start": 428.67, "end": 436.71, "text": " Stichwort GVO, dazu bei, das in technische Prozesse oder Tools zu übersetzen? Also einerseits ist die" }, { "start": 436.71, "end": 445.71, "text": " DSGVO ein Punkt, der, glaube ich, schon vor einigen Jahren die ganze Souveränität-Debatte, ich würde" }, { "start": 445.71, "end": 453.27, "text": " mal sagen, neu angefacht und neu belebt hat. Und ich bin der Überzeugung, dass das eine sehr gute" }, { "start": 453.27, "end": 459.87, "text": " Sache ist, da wir in Europa sehr stark darauf fokussiert sind, das Individuum und die persönlichen" }, { "start": 459.87, "end": 465.47, "text": " Daten eines Individuums zu schützen. Das ist eines der Kernprinzipien, worauf dann auch weitere" }, { "start": 465.47, "end": 472.51, "text": " Ideen und Wert und Überlegungen für Vertrauen eben basieren. Wenn ich also einen System wie Emerald" }, { "start": 472.51, "end": 479.83, "text": " habe und dort all diese Inhalte, die auch in einem Anforderungskatalog wie dem BSI C5 oder dem EUCS" }, { "start": 479.83, "end": 487.83, "text": " zu finden sind, die mit Datenschutz, Datenkontrolle, Datentransparenz zu tun haben, dann bin ich in" }, { "start": 487.83, "end": 495.35, "text": " der Lage, als Kunde von einem solchen Cloud Service auch immer die Sicherheit zu haben, ich bin unter" }, { "start": 495.35, "end": 504.59, "text": " Anwendung solcher Systeme und Inhalte in der Lage DSGVO-konform unterwegs zu sein. Und das ist in der" }, { "start": 504.59, "end": 510.95, "text": " Geschäftswelt ein sehr großer, wichtiger Faktor in Europa. Das Thema Digitalesouveränität Europas" }, { "start": 510.95, "end": 515.67, "text": " ist ja jetzt schon mehrfach gefallen, vielleicht ein bisschen breiter gefragt. Wie kann denn Europa" }, { "start": 515.67, "end": 522.39, "text": " sich in der Selber-Sicherheitsfrage unabhängiger aufstellen? Das ist eine schwierige Frage würde" }, { "start": 522.39, "end": 528.95, "text": " ich sagen, weil ich denke, es kommt auf jeden Fall auf zwei Aspekte an. Das eine ist mehr Mut haben im" }, { "start": 528.95, "end": 536.15, "text": " Moment. In der jetzigen geopolitischen Zusammensetzung würde ich tatsächlich sagen, Mut haben, europäische" }, { "start": 536.15, "end": 542.87, "text": " Champions zu finden und unterstützen und zu fördern. Das ist das eine, was ich auch letzte Woche in" }, { "start": 542.87, "end": 547.75, "text": " Brüssel sehr stark wieder gesehen und erlebt habe. Man will das, aber man muss schneller zu" }, { "start": 547.75, "end": 553.67, "text": " umsetzen kommen und damit komme ich zu dem zweiten Aspekt Geschwindigkeit. Ich denke, dass wir noch" }, { "start": 553.67, "end": 559.43, "text": " etwas Zeit brauchen, über das Thema Vertrauen und Souveränität genauer zu sprechen, weil das" }, { "start": 559.43, "end": 565.43, "text": " sind so Begriffe, die je nach Kontext etwas anderes bedeuten können. Und wir brauchen schon eine" }, { "start": 565.43, "end": 572.35, "text": " einheitlichere Linie, würde ich sagen. Und da braucht es trotzdem, auch wenn wir bei dem Punkt sind," }, { "start": 572.35, "end": 577.95, "text": " mehr Geschwindigkeit. Vielleicht als letzte Frage werfen wir noch einen Blick in die nähere Zukunft," }, { "start": 577.95, "end": 583.99, "text": " wenn wir sagen fünf Jahre zum Beispiel, wie sieht denn eine Cloud-Zertifizierung dann idealerweise" }, { "start": 583.99, "end": 589.19, "text": " aus und welche Rolle wird denn da Emerald spielen? Emerald in fünf Jahren ist meiner Meinung nach in" }, { "start": 589.19, "end": 596.35, "text": " der Lage, den gesamten Auditprozess zu automatisieren. Wir sehen jetzt, dass es eine Teilautomatisierung" }, { "start": 596.35, "end": 602.71, "text": " schon gibt und geben kann. Da gibt es einfache technische Anforderungen und Kontrollen. Da ist" }, { "start": 602.71, "end": 606.83, "text": " das gar nicht so schwierig, technisch einen Verschlüsselungsprotokoll einer Internetübermittlung" }, { "start": 606.83, "end": 612.79, "text": " auszulesen. Es gibt welche, da ist es komplizierter, technische Dokumentationen, zum Beispiel Dienstverträge" }, { "start": 612.79, "end": 617.87, "text": " oder Service Level Agreements und es gibt welche, da ist es nicht unbedingt möglich. Da kann es das" }, { "start": 617.87, "end": 622.99, "text": " Beispiel von Incident Management bei Türen zum Beispiel geben. Wie wird damit umgegangen" }, { "start": 622.99, "end": 629.39, "text": " am Unternehmen? Und was ich denke, was in fünf Jahren dort auch ganz wichtig ist, es wird sich ein" }, { "start": 629.39, "end": 637.47, "text": " wenig die Herangehensweise an traditionelle Audits und an das Service-Angebot von Auditoren" }, { "start": 637.47, "end": 642.79, "text": " denke ich auch ändern. Das sehen wir gerade ganz stark, dass die großen Audit-Firmen dort auch" }, { "start": 642.79, "end": 647.67, "text": " in Interesse daran haben, sich mit so etwas auseinanderzusetzen und zu sagen, wie können wir" }, { "start": 647.67, "end": 655.95, "text": " denn ein automatisiertes, kontinuiertes oder kontinuierliches Audit als Service unterstützen" }, { "start": 655.95, "end": 662.11, "text": " und anbieten, so dass ich nicht immer einmal im Jahr draufschau und sage, in der Vergangenheit war es" }, { "start": 662.11, "end": 668.11, "text": " gut, sondern über so ein Modell sagen kann, ja stand jetzt und in der Vergangenheit war es die" }, { "start": 668.11, "end": 672.67, "text": " ganze Zeit komplizierend. Und das ist ein sehr wichtiger Aspekt, der sich dann auch wieder zum" }, { "start": 672.67, "end": 677.47, "text": " Bankensektor und der Kascherbank mit Dora schließt. Denn dort sind das die ganz konkreten" }, { "start": 677.47, "end": 682.71, "text": " Anforderungen aus dem Markt und aus dem Umfeld. Herr van der, vielen Dank für das Gespräch. Sehr gerne." }, { "start": 682.71, "end": 689.43, "text": " Das war ein Podcast zur Schwerpunktwoche Cyber Security, veranstaltet von der Presse in" }, { "start": 689.43, "end": 692.99, "text": " Kooperation mit Farbersoft. Wir bedanken uns fürs Zuhören." } ]