Cybersecurity ist Chefsache cover art

Cybersecurity ist Chefsache

Cybersecurity ist Chefsache

By: Nico Freitag & Ann-Katrin Lange
Listen for free

Der wöchentliche Podcast „Cybersecurity ist Chefsache“ ist eine Plattform, auf der verschiedene Experten aus der Welt der Digitalisierung und Cybersecurity zusammenkommen, um über aktuelle Themen, Trends und praktische Anwendungen zu sprechen. Die Hosts Nico Freitag und Ann-Kathrin Lange laden regelmäßig Freunde, Kollegen und Gleichgesinnte aus unterschiedlichen Branchen ein, um ihre Erfahrungen und Perspektiven zu teilen. Gemeinsam diskutieren sie aktuelle Themen rund um Digitalisierung, Cybersecurity, OT-Sicherheit, Datenschutz und Informationssicherheit sowie deren praktische Umsetzung. Die Themen werden durch die Community mitbestimmt, sodass die Zuhörer:innen relevante, praxisnahe und aktuelle Einblicke erhalten.Copyright 2026 Nico Freitag & Ann-Katrin Lange Economics Management Management & Leadership Politics & Government
Episodes
  • Grünes Häkchen heißt nicht sicher, was der Cyber Resilience Act wirklich fordert

    Grünes Häkchen heißt nicht sicher, was der Cyber Resilience Act wirklich fordert
    Jun 29 2026
    In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico und Ann-Kathrin mit Rebecca Lennartz, Product Security Managerin bei IGEL, über ein Thema, das durch neue Regulierung gerade enorm an Fahrt aufnimmt: Produktsicherheit und der Cyber Resilience Act. Für Rebecca ist es die erste Podcast-Folge überhaupt, und man merkt von der ersten Minute an, wie viel Leidenschaft in diesem Thema steckt.Rebecca nimmt die Hörerinnen und Hörer mit in die Grundfragen, die in der Praxis oft übersprungen werden: Was ist eigentlich ein „Produkt", und wann beginnt Produktsicherheit? Sie zeigt, warum sichere Voreinstellungen, ein sauberer Umgang mit Schwachstellen und Transparenz über die eigene Software-Lieferkette entscheidend sind. Am Beispiel von IGEL, einem Linux-basierten Betriebssystem für Endgeräte, erklärt sie, wie das Team mit Schwachstellen in Open-Source-Komponenten umgeht, sie über das CVE-Programm validiert und in eigenen Security Advisories veröffentlicht. Auch das gerade brandaktuelle Thema rund um das auslaufende Secure-Boot-Zertifikat kommt zur Sprache, inklusive der Panik, die es bei vielen Kunden auslöst.Besonders spannend wird die ehrliche Diskussion über Verantwortung und Regulierung. Wo hört die Produktsicherheit des Herstellers auf und wo beginnt die Betreiberverantwortung? Warum ist „billig einkaufen und teuer absichern" genau der falsche Ansatz? Und warum würden nach Einschätzung der drei aktuell die meisten Hersteller eine CRA-Konformitätsprüfung nicht bestehen? Rebecca, Nico und Ann-Kathrin ordnen ein, was der Cyber Resilience Act konkret bedeutet, vom ersten Mal, dass eine Regulierung beim Hersteller statt beim Nutzer ansetzt, über die Meldepflichten ab dem 11. September bis zur vollen Geltung 2027, und warum Produktsicherheit eben nicht nur Aufgabe der Security-Abteilung ist.Im Gespräch geht es außerdem um:Was ein „Produkt" wirklich ausmacht, aus Sicht von Vertrieb, Entwicklung und SicherheitWarum sichere Default-Einstellungen oft mehr bringen als jedes nachträgliche FeatureWie man mit Schwachstellen in Open-Source-Komponenten umgeht, validiert und transparent kommuniziertDas auslaufende Secure-Boot-Zertifikat und warum es viele Hersteller und Kunden nervös machtHersteller- versus Betreiberverantwortung, und wo die Grenze wirklich verläuftSupply Chain und Partnerprogramme: warum man fremder Software nicht blind vertrauen darfWie ein lokal laufendes KI-Tool beim Scannen von Quell- und Binärcode hilft, ohne dass Daten das Haus verlassenWarum manche Produkte je nach Anwendungsfall nie zu 100 Prozent sicher sein könnenWas der Cyber Resilience Act konkret fordert, von Meldepflichten über SBOM bis zu fünf Jahren SicherheitsupdatesWarum „billig einkaufen, teuer absichern" der Idee von Security by Design widersprichtOpen Source unter Druck: Finanzierung, KI und die Frage, ob das Fundament gerade ins Wanken gerätDie häufigsten Fehler in der Produktsicherheit, von Supply-Chain-Vertrauen bis zu mangelnder KommunikationEine sehr praxisnahe Folge für Produktmanagerinnen und Produktmanager, Entwicklungs- und Security-Verantwortliche, Hersteller und alle, die wissen wollen, was der Cyber Resilience Act wirklich bedeutet, und die rechtzeitig vom „grünen Häkchen" zu echter Produktsicherheit kommen wollen.____________________________________________👤 Mehr InformationenRebecca Lennartz - LinkedIn Profil____________________________________________🎧 Reinschauen lohnt sich!🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyberSchließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.____________________________________________Du findest mich auf folgenden Social Media Kanälen:📸 Instagram: cybersec_ist_chefsache🕺 TikTok: cybersec_ist_chefsache🤝 LinkedIn - Nico: nicofreitag🤝 LinkedIn - Ann-Katrin: annkatrin📌 Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache____________________________________________Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.
    Show More Show Less
    1 hr and 2 mins
  • Pentest, Schwachstellenscan oder Red Teaming, wer blickt da noch durch?

    Pentest, Schwachstellenscan oder Red Teaming, wer blickt da noch durch?
    Jun 22 2026
    In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico und Ann-Kathrin mit Andreas Krüger, Gründer und Geschäftsführer von Laokoon SecurITy, über ein Thema, bei dem in der Praxis ständig Begriffe durcheinandergeworfen werden: Penetrationstests, und warum gerade im OT- und Hardware-Umfeld vieles anders läuft als in der klassischen IT. Andreas kommt selbst aus dem Bundeswehr-Umfeld, hat dort das Hacken von der Pike auf gelernt und betreibt heute ein eigenes Labor für Hardware- und OT-Pentests.Zum Einstieg räumt Andreas mit dem „bunten Blumenstrauß" aus Pentest, Schwachstellenscan, Red Teaming und Hardware-Hacking auf. Sein Bild dafür ist eine Pyramide: Sie beginnt unten bei der konzeptionellen Absicherung, also klaren Dokumenten, Prozessen und einem sauberen Asset-Management. Darauf folgen der breit angelegte Schwachstellenscan, der nur bereits bekannte Muster findet, dann der fokussierte Pentest, der bewusst die Angreiferperspektive einnimmt und auch unbekannte Lücken sucht, und schließlich das Red Teaming, das eher Prozesse prüft und im besten Fall als Purple Teaming gemeinsam mit dem Verteidiger-Team läuft. Seine klare Botschaft an Unternehmen: Überspringt keine Stufe der Pyramide, und beginnt mit dem Fundament statt mit der spektakulären Übung.Besonders ehrlich wird das Gespräch beim Unterschied zwischen IT und OT. Ein OT-Pentest ist für Andreas eine „Operation am offenen Herzen": Man kann nicht einfach einen automatisierten Scanner über eine laufende Produktionsanlage jagen, sondern braucht echtes Prozessverständnis, Referenz- oder Laborsysteme und oft auch den Blick auf physische Sicherheit und Social Engineering. Genau hier sieht er ein Marktproblem: Immer mehr IT-Beratungen drängen ohne echte Expertise in den OT-Markt und machen mit „grünen Häkchen" den Preis kaputt. Wie man einen wirklich kompetenten Anbieter erkennt, woran man Scharlatane entlarvt und warum Pentests, die aus Compliance-Gründen unbedingt „grün" sein müssen, das eigentliche Ziel sabotieren, diskutieren die drei sehr offen.Im Gespräch geht es außerdem um:Den Unterschied zwischen Schwachstellenscan, Pentest, Red Teaming und Hardware-Hacking, ohne Buzzword-NebelWarum Asset-Management und die kritischen Pfade der Ausgangspunkt jedes sinnvollen Tests sindWarum ein OT-Pentest „Operation am offenen Herzen" ist und auf Referenz- statt Produktionssystemen gehörtWie physische Sicherheit, Social Engineering und sogar Drohnen ins Spiel kommenWoran man einen seriösen Anbieter erkennt, und warum manche Beratungen den OT-Markt kaputtmachenWarum Compliance-getriebene Pentests, die „grün" sein müssen, kontraproduktiv sindWie oft man wirklich testen sollte, mindestens jährlich und nach jeder großen Änderung, nicht alle drei JahreWelche Rolle KI im Pentesting spielt, stark beim Report und der Ausbildung, riskant als Ersatz für echtes VerständnisWarum „Prompt Engineering" kein Pentest ist und Leidensfähigkeit zum Handwerk gehörtHardware als Nischenmarkt: offene Debug-Schnittstellen, Seitenkanalangriffe und Firmware als GoldgrubeDie Anekdote mit dem Computerspiel auf dem Geräte-Display, das den Hardware-Zugriff beweisen sollteLieferketten und digitale Souveränität: zugelieferte Chips, versteckte Menüs und Europas blinde FleckenEinsteiger-Tipps für Studierende: erst die Basics verstehen (TCP/IP, Protokolle), dann Plattformen wie Capture the FlagEine sehr praxisnahe Folge für IT- und OT-Verantwortliche, Sicherheitsbeauftragte, Hersteller und alle, die wissen wollen, was ein Pentest wirklich leistet, und die nicht erst im Ernstfall merken wollen, dass „Häkchen grün" eben nicht „sicher" bedeutet.____________________________________________👤 Mehr InformationenAndreas Krüger - LinkedIn Profil____________________________________________🎧 Reinschauen lohnt sich!🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyberSchließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.____________________________________________Du findest mich auf folgenden Social Media Kanälen:📸 Instagram: cybersec_ist_chefsache🕺 TikTok: cybersec_ist_chefsache🤝 LinkedIn - Nico: nicofreitag🤝 LinkedIn - Ann-Katrin: annkatrin📌 Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache____________________________________________Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.
    Show More Show Less
    1 hr and 11 mins
  • Digitale Entwicklungshilfe, wie wir die nächste Generation fit für KI machen

    Digitale Entwicklungshilfe, wie wir die nächste Generation fit für KI machen
    Jun 15 2026
    In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico und Ann-Kathrin mit Isabelle Ewald, Manager Information Security Awareness bei der BDO Germany, ISACA-Aktive und Co-Autorin des Buchs „Kommunikation in der Cyberkrise", über ein Thema, das die drei selbst „digitale Entwicklungshilfe" getauft haben: Was müssen wir der nächsten Generation im Umgang mit KI, Daten und Medien mitgeben, damit wir nicht dieselben Fehler wiederholen wie bei der Medienkompetenz? Nicos provokante These zieht sich durch die ganze Folge: „Bei der Medienkompetenz haben wir es verpasst, bei der KI haben wir jetzt die Chance, es besser zu machen."Isabelle bringt dafür eine ungewöhnliche Perspektive mit. Vom Studium der systematischen Musikwissenschaft über den Online-Journalismus und die Strategieberatung ist sie in der Cybersecurity gelandet, ist Mutter, Dozentin am Zentrum für Schule, Jugend und Information der Schulbehörde Hamburg und steht regelmäßig auf Elternabenden. Genau dort beginnt für sie die „digitale Entwicklungshilfe": nicht bei großer Digitalkompetenz, sondern bei emotionaler Kompetenz und der Bereitschaft, sich der Welt der Kinder überhaupt zu öffnen. Verbote, sind sich die drei einig, laufen ins Leere, weil Kinder längst in einer digitalen Welt aufwachsen und KI ohnehin nicht mehr verschwindet. Wichtiger sei eine „Daten-Liebe": Jugendliche müssen verstehen, dass ihre Daten einen Wert haben und ein Stück weit sie selbst sind.Im zweiten Teil geht es ehrlich zur Sache: KI in der Arbeitswelt, Schatten-KI und Resilienz. Isabelle ordnet ein, warum KI als Werkzeug gehört, nicht als Allheilmittel, und warum guter KI-Einsatz vor allem intellektuelle Arbeit ist, ein echter Dialog statt blindes Bestätigen-Lassen. Beim Reizthema Schatten-KI plädieren alle drei dafür, Verbote durch Use Cases, klare Spielregeln und Schulung zu ersetzen, weil Menschen kreativ werden, sobald man ihnen etwas verbietet. Und sie diskutieren, warum eine gute Meldekultur und Eigenmacht der Beschäftigten mehr bringen als Panik und „geistige Brandstiftung", gerade in einer Welt, in der sich auch Angriffstechnik wie Deepfakes und Desinformation rasant demokratisiert.Im Gespräch geht es außerdem um:Warum „digitale Entwicklungshilfe" mehr ist als ein Schlagwort, und was wir der nächsten Generation wirklich mitgeben müssenWarum Verbote bei Kindern und KI ins Leere laufen, und warum emotionale Kompetenz mehr zählt als reine „Digitalkompetenz"Wieso Eltern und alle Bezugspersonen Ansprechpartner Nummer eins bleiben, statt Verantwortung an „die Schule" oder „die anderen" abzugebenWas „Daten-Liebe", Datenhygiene und Datenwertschätzung bedeuten, und warum Jugendliche den Wert ihrer Daten verstehen müssenWie KI die Arbeitswelt in drei Zonen teilt, und wo der „symbiotische" Mittelteil entsteht, den wir aktiv gestalten könnenWas Schatten-KI und Schatten-IT wirklich sind, und warum sie zugleich Zeichen von Innovation und ein Führungsthema sein könnenWarum „jeder seine eigene Firewall" ist und eine gute Meldekultur mehr bringt als PanikWie KI die Resilienz von Unternehmen verändert, zwischen demokratisierter Angriffstechnik und neuen SchutzmöglichkeitenWarum wir den Innovationsbegriff nicht verwässern sollten, Stichwort Buzzword-Falle wie schon bei Zero Trust und DigitalisierungDie zentrale Abschlussfrage: Was sollten wir ab morgen anders machen, um besser mit KI umzugehen?Eine Folge für alle, die mit Kindern, Teams oder ganzen Organisationen vor derselben Frage stehen: Wie bringen wir Menschen sicher, selbstbewusst und ohne Angst in eine Welt, in der KI nicht mehr wegzudenken ist? Oder, wie Nico es zum Schluss zusammenfasst: Am Ende brauchen wir starke Mauern, und die kann keine KI der Welt bauen.____________________________________________👤 Mehr InformationenIsabelle Ewald - LinkedIn ProfilBuch - Kommunikation in der Cyberkrise____________________________________________🎧 Reinschauen lohnt sich!🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyberSchließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.____________________________________________Du findest mich auf folgenden Social Media Kanälen:📸 Instagram: cybersec_ist_chefsache🕺 TikTok: cybersec_ist_chefsache🤝 LinkedIn - Nico: nicofreitag🤝 LinkedIn - Ann-Katrin: annkatrin📌 Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache____________________________________________Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.
    Show More Show Less
    1 hr and 18 mins
adbl_web_anon_alc_button_suppression_t1
No reviews yet