Cybersecurity ist Chefsache cover art

Cybersecurity ist Chefsache

Cybersecurity ist Chefsache

By: Nico Freitag & Ann-Katrin Lange
Listen for free

Der wöchentliche Podcast „Cybersecurity ist Chefsache“ ist eine Plattform, auf der verschiedene Experten aus der Welt der Digitalisierung und Cybersecurity zusammenkommen, um über aktuelle Themen, Trends und praktische Anwendungen zu sprechen. Die Hosts Nico Freitag und Ann-Kathrin Lange laden regelmäßig Freunde, Kollegen und Gleichgesinnte aus unterschiedlichen Branchen ein, um ihre Erfahrungen und Perspektiven zu teilen. Gemeinsam diskutieren sie aktuelle Themen rund um Digitalisierung, Cybersecurity, OT-Sicherheit, Datenschutz und Informationssicherheit sowie deren praktische Umsetzung. Die Themen werden durch die Community mitbestimmt, sodass die Zuhörer:innen relevante, praxisnahe und aktuelle Einblicke erhalten.Copyright 2026 Nico Freitag & Ann-Katrin Lange Economics Management Management & Leadership Politics & Government
Episodes
  • Informationssicherheit an Hochschulen: zwischen Forschungsfreiheit und Angriffsfläche
    Jul 6 2026
    In dieser Folge von „Cyber Security ist Chefsache" sprechen Ann-Katrin und Nico mit Sandra Heger, CISO an einer Hochschulen in Nordrhein-Westfalen, über ein Umfeld, das sich von jedem klassischen Unternehmen unterscheidet: die Hochschule. Hier gibt es keine Belegschaft, die per Arbeitsvertrag einer Security-Policy folgt, sondern Forschungsfreiheit, tausende Studierende und wissenschaftliche Mitarbeitende, die neue Systeme ausprobieren wollen, und eine IT-Infrastruktur, die das alles tragen muss.Sandra beschreibt, wie man in diesem Spannungsfeld die Balance hält: zwischen der grundgesetzlich verankerten Freiheit von Forschung und Lehre auf der einen und dem Schutz vor einer wachsenden Angriffsfläche auf der anderen Seite. Ihr wichtigstes Werkzeug ist dabei nicht die Technik, sondern die Kommunikation. Statt als „Spielverderberin" mit dem erhobenen Zeigefinger aufzutreten, geht es ihr darum, Projekte zu ermöglichen, riskante Vorhaben sauber zu isolieren und früh ins Gespräch zu kommen. Sie erklärt außerdem, warum Hochschulen ein besonders lohnendes Angriffsziel sind, von Personal- und Studierendendaten über Patente und Start-up-Ideen bis zu noch unveröffentlichten Forschungsergebnissen.Ein großer Teil der Folge dreht sich um Strukturen, Ressourcen und Zusammenarbeit. Sandra zeigt, dass eine Hochschule im Kern wie ein Unternehmen funktioniert, mit IT, Verwaltung, Personalräten und Gremien, durch die eine Leitlinie oft viele Iterationen wandern muss. Sie berichtet vom starken Netzwerk der Hochschulen in NRW, von der „Vereinbarung zur Informationssicherheit und Cybersicherheit" mit dem Land, die Maßnahmen an Fördermittel und eigene ISO-Stellen koppelt, und davon, warum der Austausch zwischen den Hochschulen die chronisch knappen Ressourcen zumindest teilweise auffängt. Zwischendurch geht es auch um ein Herzensthema aller drei: nachlassende Grundlagen-Skills bei Studierenden und der richtige Umgang mit KI in Studium und Lehre.Im Gespräch geht es außerdem um:Warum an der Hochschule Forschungsfreiheit und Informationssicherheit ständig neu ausbalanciert werden müssenWieso Kommunikation und Ermöglichen wichtiger sind als Verbote und der erhobene ZeigefingerWas Hochschulen zum attraktiven Angriffsziel macht, von Studierendendaten bis zu unveröffentlichter ForschungWie BYOD und tausende private Geräte die Absicherung erschwerenWarum eine Hochschule strukturell einem Unternehmen ähnelt, inklusive Gremien und langer EntscheidungswegeWie das Netzwerk der Hochschulen in NRW funktioniert und warum Zusammenarbeit knappe Ressourcen auffängtWas die NRW-Vereinbarung zur Informationssicherheit bewirkt, von Fördermitteln bis zu eigenen ISO-StellenWarum viele Hochschulen sich (noch) keine eigene ISO leisten und sich Stellen teilenNachlassende Grundlagen-Skills bei Studierenden und der richtige Umgang mit KI in Studium und LehreSandras drei erste Maßnahmen, wenn sie Hochschulleitung wäre, mit klarem Fokus auf Personal und AwarenessEine Folge für alle in Hochschulen, Forschung und Verwaltung, aber auch für alle aus der Wirtschaft, die sehen wollen, wie Informationssicherheit dort gelingt, wo Freiheit Programm ist, und warum „Cybersecurity ist Chefsache" auch an der Hochschule gilt.____________________________________________👤 Mehr InformationenSandra Heger - LinkedIn Profil____________________________________________🎧 Reinschauen lohnt sich!🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyberSchließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.____________________________________________Du findest mich auf folgenden Social Media Kanälen:📸 Instagram: cybersec_ist_chefsache🕺 TikTok: cybersec_ist_chefsache🤝 LinkedIn - Nico: nicofreitag🤝 LinkedIn - Ann-Katrin: annkatrin📌 Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache____________________________________________Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.
    Show More Show Less
    43 mins
  • Grünes Häkchen heißt nicht sicher, was der Cyber Resilience Act wirklich fordert
    Jun 29 2026
    In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico und Ann-Kathrin mit Rebecca Lennartz, Product Security Managerin bei IGEL, über ein Thema, das durch neue Regulierung gerade enorm an Fahrt aufnimmt: Produktsicherheit und der Cyber Resilience Act. Für Rebecca ist es die erste Podcast-Folge überhaupt, und man merkt von der ersten Minute an, wie viel Leidenschaft in diesem Thema steckt.Rebecca nimmt die Hörerinnen und Hörer mit in die Grundfragen, die in der Praxis oft übersprungen werden: Was ist eigentlich ein „Produkt", und wann beginnt Produktsicherheit? Sie zeigt, warum sichere Voreinstellungen, ein sauberer Umgang mit Schwachstellen und Transparenz über die eigene Software-Lieferkette entscheidend sind. Am Beispiel von IGEL, einem Linux-basierten Betriebssystem für Endgeräte, erklärt sie, wie das Team mit Schwachstellen in Open-Source-Komponenten umgeht, sie über das CVE-Programm validiert und in eigenen Security Advisories veröffentlicht. Auch das gerade brandaktuelle Thema rund um das auslaufende Secure-Boot-Zertifikat kommt zur Sprache, inklusive der Panik, die es bei vielen Kunden auslöst.Besonders spannend wird die ehrliche Diskussion über Verantwortung und Regulierung. Wo hört die Produktsicherheit des Herstellers auf und wo beginnt die Betreiberverantwortung? Warum ist „billig einkaufen und teuer absichern" genau der falsche Ansatz? Und warum würden nach Einschätzung der drei aktuell die meisten Hersteller eine CRA-Konformitätsprüfung nicht bestehen? Rebecca, Nico und Ann-Kathrin ordnen ein, was der Cyber Resilience Act konkret bedeutet, vom ersten Mal, dass eine Regulierung beim Hersteller statt beim Nutzer ansetzt, über die Meldepflichten ab dem 11. September bis zur vollen Geltung 2027, und warum Produktsicherheit eben nicht nur Aufgabe der Security-Abteilung ist.Im Gespräch geht es außerdem um:Was ein „Produkt" wirklich ausmacht, aus Sicht von Vertrieb, Entwicklung und SicherheitWarum sichere Default-Einstellungen oft mehr bringen als jedes nachträgliche FeatureWie man mit Schwachstellen in Open-Source-Komponenten umgeht, validiert und transparent kommuniziertDas auslaufende Secure-Boot-Zertifikat und warum es viele Hersteller und Kunden nervös machtHersteller- versus Betreiberverantwortung, und wo die Grenze wirklich verläuftSupply Chain und Partnerprogramme: warum man fremder Software nicht blind vertrauen darfWie ein lokal laufendes KI-Tool beim Scannen von Quell- und Binärcode hilft, ohne dass Daten das Haus verlassenWarum manche Produkte je nach Anwendungsfall nie zu 100 Prozent sicher sein könnenWas der Cyber Resilience Act konkret fordert, von Meldepflichten über SBOM bis zu fünf Jahren SicherheitsupdatesWarum „billig einkaufen, teuer absichern" der Idee von Security by Design widersprichtOpen Source unter Druck: Finanzierung, KI und die Frage, ob das Fundament gerade ins Wanken gerätDie häufigsten Fehler in der Produktsicherheit, von Supply-Chain-Vertrauen bis zu mangelnder KommunikationEine sehr praxisnahe Folge für Produktmanagerinnen und Produktmanager, Entwicklungs- und Security-Verantwortliche, Hersteller und alle, die wissen wollen, was der Cyber Resilience Act wirklich bedeutet, und die rechtzeitig vom „grünen Häkchen" zu echter Produktsicherheit kommen wollen.____________________________________________👤 Mehr InformationenRebecca Lennartz - LinkedIn Profil____________________________________________🎧 Reinschauen lohnt sich!🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyberSchließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.____________________________________________Du findest mich auf folgenden Social Media Kanälen:📸 Instagram: cybersec_ist_chefsache🕺 TikTok: cybersec_ist_chefsache🤝 LinkedIn - Nico: nicofreitag🤝 LinkedIn - Ann-Katrin: annkatrin📌 Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache____________________________________________Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.
    Show More Show Less
    1 hr and 2 mins
  • Pentest, Schwachstellenscan oder Red Teaming, wer blickt da noch durch?
    Jun 22 2026
    In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico und Ann-Kathrin mit Andreas Krüger, Gründer und Geschäftsführer von Laokoon SecurITy, über ein Thema, bei dem in der Praxis ständig Begriffe durcheinandergeworfen werden: Penetrationstests, und warum gerade im OT- und Hardware-Umfeld vieles anders läuft als in der klassischen IT. Andreas kommt selbst aus dem Bundeswehr-Umfeld, hat dort das Hacken von der Pike auf gelernt und betreibt heute ein eigenes Labor für Hardware- und OT-Pentests.Zum Einstieg räumt Andreas mit dem „bunten Blumenstrauß" aus Pentest, Schwachstellenscan, Red Teaming und Hardware-Hacking auf. Sein Bild dafür ist eine Pyramide: Sie beginnt unten bei der konzeptionellen Absicherung, also klaren Dokumenten, Prozessen und einem sauberen Asset-Management. Darauf folgen der breit angelegte Schwachstellenscan, der nur bereits bekannte Muster findet, dann der fokussierte Pentest, der bewusst die Angreiferperspektive einnimmt und auch unbekannte Lücken sucht, und schließlich das Red Teaming, das eher Prozesse prüft und im besten Fall als Purple Teaming gemeinsam mit dem Verteidiger-Team läuft. Seine klare Botschaft an Unternehmen: Überspringt keine Stufe der Pyramide, und beginnt mit dem Fundament statt mit der spektakulären Übung.Besonders ehrlich wird das Gespräch beim Unterschied zwischen IT und OT. Ein OT-Pentest ist für Andreas eine „Operation am offenen Herzen": Man kann nicht einfach einen automatisierten Scanner über eine laufende Produktionsanlage jagen, sondern braucht echtes Prozessverständnis, Referenz- oder Laborsysteme und oft auch den Blick auf physische Sicherheit und Social Engineering. Genau hier sieht er ein Marktproblem: Immer mehr IT-Beratungen drängen ohne echte Expertise in den OT-Markt und machen mit „grünen Häkchen" den Preis kaputt. Wie man einen wirklich kompetenten Anbieter erkennt, woran man Scharlatane entlarvt und warum Pentests, die aus Compliance-Gründen unbedingt „grün" sein müssen, das eigentliche Ziel sabotieren, diskutieren die drei sehr offen.Im Gespräch geht es außerdem um:Den Unterschied zwischen Schwachstellenscan, Pentest, Red Teaming und Hardware-Hacking, ohne Buzzword-NebelWarum Asset-Management und die kritischen Pfade der Ausgangspunkt jedes sinnvollen Tests sindWarum ein OT-Pentest „Operation am offenen Herzen" ist und auf Referenz- statt Produktionssystemen gehörtWie physische Sicherheit, Social Engineering und sogar Drohnen ins Spiel kommenWoran man einen seriösen Anbieter erkennt, und warum manche Beratungen den OT-Markt kaputtmachenWarum Compliance-getriebene Pentests, die „grün" sein müssen, kontraproduktiv sindWie oft man wirklich testen sollte, mindestens jährlich und nach jeder großen Änderung, nicht alle drei JahreWelche Rolle KI im Pentesting spielt, stark beim Report und der Ausbildung, riskant als Ersatz für echtes VerständnisWarum „Prompt Engineering" kein Pentest ist und Leidensfähigkeit zum Handwerk gehörtHardware als Nischenmarkt: offene Debug-Schnittstellen, Seitenkanalangriffe und Firmware als GoldgrubeDie Anekdote mit dem Computerspiel auf dem Geräte-Display, das den Hardware-Zugriff beweisen sollteLieferketten und digitale Souveränität: zugelieferte Chips, versteckte Menüs und Europas blinde FleckenEinsteiger-Tipps für Studierende: erst die Basics verstehen (TCP/IP, Protokolle), dann Plattformen wie Capture the FlagEine sehr praxisnahe Folge für IT- und OT-Verantwortliche, Sicherheitsbeauftragte, Hersteller und alle, die wissen wollen, was ein Pentest wirklich leistet, und die nicht erst im Ernstfall merken wollen, dass „Häkchen grün" eben nicht „sicher" bedeutet.____________________________________________👤 Mehr InformationenAndreas Krüger - LinkedIn Profil____________________________________________🎧 Reinschauen lohnt sich!🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyberSchließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.____________________________________________Du findest mich auf folgenden Social Media Kanälen:📸 Instagram: cybersec_ist_chefsache🕺 TikTok: cybersec_ist_chefsache🤝 LinkedIn - Nico: nicofreitag🤝 LinkedIn - Ann-Katrin: annkatrin📌 Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache____________________________________________Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.
    Show More Show Less
    1 hr and 11 mins
adbl_web_anon_alc_button_suppression_t1
No reviews yet