Cybersecurity Basement – der Podcast für echten Security-Content
Herzlich Willkommen im Cybersecurity Basement. In unserem Podcast spricht Michael Döhmen alle 14 Tage mit spannenden Gästen über Themen aus dem Bereich Cybersecurity. Dabei legen wir großen Wert auf Objektivität gelegt. Kein suresecure-Feature-Fucking, sondern ein seriöser, authentischer und ehrlicher Austausch aus Theorie und Praxis.
Der Podcast richtet sich an IT- und Security-Entscheider und alle, die es mal werden wollen. Hier gibts kein Blabla, sondern Security als Handwerk. Ehrlich auf den Tisch. Dabei übersetzen die Protagonisten Security in Business-Sprache und umgekehrt.
Zudem werden auch Gäste eingeladen, um andere Blickwinkel oder auch Kundenstimmen einzufangen. So geht es noch mehr in die Praxis und der Podcast bewegt sich auf Augenhöhe mit dem Zielpublikum.
Cybersecurity Basement – der Podcast für echten Security-Content
Der Wunsch nach digitaler Souveränität: Zerschellt er am Preisschild oder an der Verfügbarkeit?
Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.
Deutschland spricht über digitale Souveränität wie selten zuvor. Unternehmen wünschen sich europäische Alternativen, Politiker fordern mehr Unabhängigkeit und die Sorge vor digitalen Abhängigkeiten wächst. Doch warum dominieren amerikanische Anbieter weiterhin den Markt?
In dieser Folge von Cybersecurity Basement spricht Michael mit Jona Ridderskamp über die Realität hinter der Debatte um digitale Souveränität. Gemeinsam beleuchten sie, warum der Wunsch nach europäischen IT-Sicherheitslösungen häufig an Preis, Verfügbarkeit und Marktreife scheitert – und weshalb digitale Souveränität weit mehr ist als die Frage nach dem Hersteller einer Software.
Außerdem geht es um digitale Resilienz, die Bedeutung von NIS2, die Arbeit der Bundesfachkommission Cybersicherheit im Wirtschaftsrat sowie die Frage, wie Deutschland und Europa ihre digitale Unabhängigkeit langfristig stärken können. Jona gibt dabei Einblicke aus seiner Arbeit an der Schnittstelle von Wirtschaft, Politik und Cybersicherheit und erklärt, warum digitale Souveränität kein Zustand, sondern ein fortlaufender Prozess ist.
Eine Folge über geopolitische Abhängigkeiten, europäische Cybersecurity, politische Entscheidungsprozesse und die Herausforderungen auf dem Weg zu mehr digitaler Eigenständigkeit.
Falls ihr die dreiteilige Security-Incident-Serie mit Jona noch nicht gehört habt:
Security Incident: Die ersten sieben Tage - Stabile Seitenlage durchgeführt, was nun?
Security Incident: Der erste Monat danach
Security Incident: Ein Jahr danach – Was hat sich verändert?
Wir freuen uns auf dein Feedback!
Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:
Cybersecurity Basement - Media Kit
Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok
Michael: Herzlich willkommen zu einer neuen Ausgabe von Cybersecurity Basement, dem Podcast für echten Security Content. Meine Damen und Herren, liebe Zuhörerinnen und Zuhörer! Deutschland wird angegriffen. Immer wieder. Immer noch nicht vereinzelt, nicht gelegentlich, sondern fast täglich, systematisch und mit wachsender Professionalität. Deshalb wollen wir heute sprechen über digitale Souveränität. Denn wir, wir kaufen unsere Lösungen mehrheitlich bei Unternehmen, über deren Datenzugriffe wir bestenfalls gut informiert sind.
Michael: Dazu habe ich mal wieder zwei spannende Studien dabei. Die Data Cyber Defense aus dem Jahr 2025 gibt an: 74 % der deutschen Unternehmen bevorzugen 2025 einen deutschen IT-Sicherheitsanbieter. Aber US-Software dominiert weiterhin die IT-Landschaften. State of Digital Souveränität 2025 von mir Security gibt an: 84,4 % der IT-Entscheider fordern aktiv europäische Lösungen für kritische Infrastrukturen. Allerdings: Nur 20 % befinden sich tatsächlich im Umstieg.
Michael: Tja, was soll uns das sagen? Das Thema der digitalen Souveränität war sehr, sehr medienwirksam in den letzten Monaten, vielleicht sogar im letzten Jahr, insbesondere auch aufgeladen durch die geopolitischen Veränderungen in Europa. Und darüber möchte ich heute gerne mit meinem Gast sprechen, der in diesem Bereich enorme Expertise mitbringt. Mein Gast kennt das Thema nämlich nicht nur aus dem Lehrbuch.
Michael: Er baut gerade mit daran, dass sich genau diese digitale Souveränität verändert. Er sitzt im Wirtschaftsrat der CDU in der Bundestag-Kommission Cybersicherheit und täglich in einem der ambitioniertesten Managed Provider der DACH-Region. Ihr wisst mit Sicherheit schon längst, von wem ich rede. Jona Ridderskamp. Herzlich willkommen in diesem Podcast und in dieser Folge. Hallo!
Jona: Hallo! Ich bin ein bisschen aufgeregt, muss ich zugeben. Mal wieder hier bei dir zu sein, Michael. Vor dem Mikrofon zu sitzen. Ich weiß gar nicht, wie lange es her ist, dass ich hier sein durfte, aber ich freue mich auf jeden Fall, dass du mich wieder eingeladen hast.
Michael: Ich glaube, tatsächlich ist es über ein Jahr her. Die treuen Zuhörerinnen und Zuhörer werden sich sicherlich daran erinnern. Wir haben damals eine Serie zum Thema Instant Response gemacht und sind ohne Detail auf die einzelnen Phasen eingegangen. Sehr, sehr spannende Folge Folgen. Muss man sagen. Waren Mehrteiler und die verlinken wir auch gerne direkt noch bei den Shownotes, damit die Leute sich das noch mal anhören können.
Michael: Da du lange nicht mehr da warst, müssen wir natürlich deine Rolle noch mal so ein bisschen einordnen. Erzähl uns doch gerne zum Start noch mal, wo wirkst du hier bei der Show primär mit? Dass du Gründer und Geschäftsführer bist, ist kein Geheimnis. Aber wo wirkst du im Daily Business mit?
Jona: Ja, du hast mir den Wind aus den Segeln genommen. Das ist eigentlich mein Lieblingseinstieg. Also, mein Name ist Jona Ridderskamp. Ich bin Gründer und Geschäftsführer der suresecure und auch der Sequenz. Und ganz ursprünglich komme ich aus einem sehr technischen Bereich, schon als Jugendlicher, noch in der Schule. Damals habe ich gesagt, ich möchte immer ITler werden. Habe ich am Ende nicht geschafft.
Jona: Ich bin nur Geschäftsführer geworden, dafür aber zumindest von einem IT-Unternehmen. Der Hintergrund, von dem ich, den ich aber eben mitbringe, ist ein sehr technischer und deshalb ist meine große Leidenschaft eigentlich auch genau in diesem Bereich bis heute geblieben. Also vor allem im Bereich Incident Response fühle ich mich total wohl. Das ist etwas, was mich sehr umtreibt. Daher dann auch unsere Idee zur Serie.
Jona: Letztes Jahr und darüber hinaus kümmere ich mich jetzt eben viel um die Umsetzung und die geopolitischen Themen, die politischen Themen, engagiere mich deshalb dann auch möglichst wirkungsvoll in so einem Bereich und deshalb Mitglied im Wirtschaftsrat der Bundesfachkommission geworden. Vor jetzt auch mittlerweile über einem Jahr, wenn ich richtig rechne. Also ja, heute vornehmlich Geschäftsführer. Ich gestalte, ich strukturiere aber immer mit technischem Background, mit IT-Background und gehe dann in Sicherheitsvorfällen, wenn es groß, wenn es kritisch wird und ich helfen kann, auch gerne zu dem Team dazu und unterstütze eben, wo ich unterstützen kann.
Michael: Du hast jetzt gerade schon mal gesagt, du bist seit über einem Jahr in diesem Wirtschaftsrat aktiv und berätst quasi mit auf Bundesebene in einer Fachkommission. Würdest du sagen, dass sich dein Horizont, dein Denken dadurch ein wenig verändert hat? Und vielleicht erzählt es uns kurz, wie es überhaupt dazu kam?
Jona: Zwei Fragen. Ich versuche das ein bisschen zu strukturieren. Wie kam es dazu? Wir wurden aktiv angesprochen vom Wirtschaftsrat zu der Zeit, den die Bundesfachkommission geformt und weiterentwickelt hat. Der Wirtschaftsrat ist sehr ambitioniert, muss ich sagen, und das ist am Ende, was mich auch dazu gebracht hat, Mitglied zu werden und eben teilzunehmen an diesen Initiativen, weil ich eine starke, starke Ambitionen sehe, Veränderungen im IT- und eben gerade im Sicherheitsbereich in Deutschland erwirken zu wollen.
Jona: Wir wurden eingeladen, an der Bundestag-Kommission teilzunehmen und uns das anzuschauen. Ich bin einfach hingegangen und habe mir das angeguckt, was da passiert. Wie die Fachkommission arbeitet, habe Mitglieder kennengelernt und auch Timo Koop, den Vorsitzenden der Bundesfachkommission. Schöne Grüße an der Stelle. Habe mich so wohl gefühlt und habe gemerkt, dass das hier wirklich Veränderung möglich ist. Dass ich im Anschluss gesagt habe, ich würde gerne direkt Mitglied werden.
Jona: Ständiges Mitglied, dann die Fachkommission immer mit begleiten und entsprechend auch zu so Tagen wie dem Cyber Nation Day, der jetzt nächste Woche stattfindet, wo in Berlin eingeladen ist zu genau dem Thema Digitale Souveränität, mache ich eben mit, partizipieren mit.
Michael: Ja, darüber wollen wir natürlich auch noch sprechen im Verlauf dieses Gesprächs und nämlich genau auch über so ein bisschen über die Agenda fliegen und sagen, was diese Eventreihe dann auch bewirken soll. Und damit wäre meine zweite Frage beantwortet. Die erste hast du, glaube ich, noch so ein bisschen liegen lassen.
Jona: Was hast du noch im Kopf und mich wiederholen?
Michael: Ich kann die gerne mal wiederholen. Also verständlich. Die Frage war eigentlich die spannendere, ob das Mitwirken in diesem Gremium dein Denken verändert hat, einen Horizont erweitert hat. Welchen Mehrwert hast du aus dem letzten Jahr da vielleicht mitgenommen?
Jona: Lass mich kurz darüber sinnieren.
Michael: Sinnieren.
Jona: Bevor ich deklariere. Schönes Wort habe ich letztens gehört. Also ja, auf jeden Fall hat die Arbeit im Wirtschaftsrat, in der Bundesfachkommission mein Denken verändert. Das ist aber mannigfaltig. Wo wir schon mal bei wilden Worten sind: In welchen Formen? Also zuallererst habe ich in der Bundestag-Kommission eine ganz tolle Gruppe von Menschen gefunden. Eine ganz tolle Ansammlung von Menschen, die alle ein ähnlich ambitioniertes Ziel verfolgen, wie auch ich das tue, wie auch wir das tun, nachhaltig was in Deutschland, in unserem Land zu verändern und besser zu machen.
Jona: Und wir arbeiten alle an dem gleichen Thema der IT-Sicherheit. Aber nicht ein einziges Mal habe ich dort gesessen und mich unter Konkurrenten gefühlt. Ganz im Gegenteil ist man Teil einer gemeinsamen Bewegung, einer gemeinsamen Gruppe. Und alleine der Austausch, das Netzwerk, das Kennenlernen miteinander hat mich total geöffnet und meinen Blick auf den Markt auch sehr verändert. Auf unseren eigentlichen Marktbegleiter, mit denen ich da aber gemeinsam an Themen arbeite.
Jona: Das finde ich im Zwischenmenschlichen sehr toll. Ihn auf das Thema bezogen habe ich viel mehr Verständnis heute dafür, warum manche Dinge einfach dauern. Manchmal dauert es einfach sehr lange und es ist zwei Umsetzungsgesetz zum Beispiel hat sich sehr viel Zeit gelassen. Ist ja mittlerweile glücklicherweise seit Anfang Dezember 25 in Kraft getreten. Aber die politischen Prozesse dahinter zu verstehen und Einblick zu bekommen, mit Abgeordneten zu sprechen, um im Hintergrund auch mal Gespräche zu führen, hat mir auf jeden Fall geholfen zu verstehen, warum manchmal Dinge einfach länger dauern.
Jona: Und das ist natürlich frustrierend an mancher Stelle. Aber es ist halt so und es bringt nichts.
Michael: Direkt mal den Finger in die Wunde legen. Ja, gerne. Denn wir kennen ja genau das auch aus anderen Themenbereichen, wo die Politik, ich sage mal, in der Schaltzentrale sitzt und etwas auf den Weg bringen muss. Es dauert ja irgendwie immer lange. Ist das in diesem konkreten Fall nun auch, sagst du, es ist eher ein politisches Ding? Oder war das Thema jetzt diesmal so komplex?
Jona: Auf jeden Fall war es ein politisches Ding. Das NIS-2-Umsetzungsgesetz hat auf jeden Fall darunter gelitten in der zeitlichen Umsetzung, dass wir einen Regierungswechsel hatten und dass die Ampelkoalition frühzeitig ungeplant geendet ist und es nicht mehr genug politisches Gewicht erhalten hat. Das Thema, um dann in diesem Übergang stattfinden zu können. Und danach muss ich erstmal. Dann haben wir parlamentarische Sommerpause, dann musste sich neue Regierung formen.
Jona: Nachdem die sich geformt hatte, mussten sich da die entsprechenden Verantwortlichen auch dann wieder an das Thema setzen. Einarbeiten waren vielleicht schon einige arbeitet, aber mussten dann in die Umsetzung gehen, mussten Arbeitskreise bilden, eben dann auch ja Expertenwissen einholen. Das ist ja genau das, was die Bundesfachkommission dann tut, Expertenwissen mitzubringen, Empfehlungen mit reinzugeben, Positionspapiere auch zu schreiben, zur Verfügung zu stellen.
Jona: Das heißt, so ein Gesetz ist ja einiges an Arbeit, bis es umgesetzt wird. Ja, und das kam dann genau in einer politisch ungünstigen Zeit für das Gesetz und das Thema, glaube ich, an sich war gar nicht so schwer, weil ja die Regulierungsinitiative der EU schon sehr deutliche Leitplanken mitgegeben hat.
Michael: Wir müssen natürlich auch über digitale Resilienz sprechen. Wir müssen über digitale Souveränität sprechen. Diese beiden Dinge können wir gleich noch mal voneinander abgrenzen, ohne hier das große Buzzword-Bingo lostreten zu wollen. Aber vielleicht mal so, um uns dem Thema zu nähern. Im Rahmen der digitalen Souveränität wird ja oft die Herstellerfrage diskutiert: Wo kommt die Lösung her? Und hat jemand dann wirklich im Notfall Zugriff?
Michael: Durchgriff auf deine Daten diskutiert? Was bedeutet das für dich denn konkret? Wenn ein Unternehmen wirklich resilient ist, woran erkennt man es in der Praxis? Hat das wirklich überhaupt erst mal einen primär technologischen Hintergrund? Und hat es überhaupt etwas zu tun mit der richtigen Herstellerwahl oder mit der Herkunft des eigentlichen Herstellers? Denn es ist ja viele Fragen.
Michael: Wir fangen vielleicht mit der.
Jona: Merkst du an meinem.
Michael: Gesicht ja. Also was bedeutet es für dich konkret, wenn ein Unternehmen wirklich resilient ist? Gibt es handfeste Kriterien für.
Jona: Ich habe ja immer eine Einleitung erwähnt, dass ich ITler bin. Lange Zeit auch dann in der Beratung Consulting gearbeitet und ich möchte einen meiner Lieblingssätze vorwegschicken: Es kommt drauf an, es kommt immer darauf an, aber ich habe auch eine richtige Antwort für dich.
Michael: Das ist gut.
Jona: Was bedeutet das, wenn ein Unternehmen digital resilient ist? Das ist für jedes Unternehmen unterschiedlich zu beantworten. Und das ist so ein bisschen, wie wenn du mir die Frage stellen würdest: Was bedeutet das, wenn ein Unternehmen einen guten Brandschutz hat? Das hängt davon ab, ob du ein Hotel oder eine Werkshalle hast. Aber ich brauche ein Gesamtkonzept für eine digitale Resilienz.
Jona: Ich kann zum einen nicht die gleiche Lösung, den gleichen Hersteller, die gleiche Maßnahme in jedem Unternehmen anwenden und sagen: Jetzt bist du resilient. Ich muss schon immer sehr genau schauen, was habe ich eigentlich hier für eine Umgebung, was ist auch der Business need? Also ich bin stärker Fan davon, die IT nicht als eigenes Thema zu sehen, sondern immer zu kombinieren mit der Umgebung, in der die IT eigentlich lebt, der Business need.
Jona: Und wie kann ich da eine digitale Resilienz herstellen? Jetzt noch konkreter, damit du nicht das Gefühl hast, von mir nur Buzzword-Bingo zu bekommen: Es ist nie nur eine technische Umsetzung, ist es auch eine prozessuale Umsetzung. Es ist auch ein Schulen von Mitarbeitern. Und es geht auch darüber hinaus, dass ich nur stärkere Außenmauern aufbaue. So stark. Ich muss auch immer damit rechnen, dass ein Mitarbeiter am Ende auf einer doofen Website was runterlädt und ausführt.
Jona: Und dann bedeutet digitale Resilienz für mich auch, dass meine Umgebung das aushält, ohne dass im Anschluss alles verschlüsselt oder zugegriffen wurde. Also die stärksten Außenmauern bringt mir gar nichts, wenn jemand mit dem Tunnel reinkommt und danach ist kein Schutz mehr intern gibt, um wieder im Brandschutz zu sprechen. Und dann beende ich meinen Monolog. Es bringt mir nichts, wenn ich keine Brandschutzsektoren habe mit Türen, die dann entsprechend ja auch ein Unternehmen abtrennen, damit nur der eine Bereich brennt und nicht vielleicht das ganze Gebäude.
Jona: Habe ich das geschafft, dir konkret genug zu antworten?
Michael: Du hast mir die Vorlage für meinen nächsten Part geliefert. Definitiv. Denn darauf wollte ich auch hinaus, dass eben diese Resilienz ja gar nicht nur einen technischen Hintergrund hat. Am Ende des Tages, wenn ich über Brandschutz spreche, die Brandschutztür ja ein Tool, was ich auf jeden Fall brauche. Aber ich brauche irgendwie einen Plan für wie und wo treffen wir uns im Notfall?
Michael: Ich brauche Prozesse, die dahinter stehen. Ja, gerade der Organisation, die da an diesem Thema einfach mitwirkt und im Notfall weiß, was zu tun ist. Wenn wir über digitale Souveränität sprechen, dann, ich habe es eben schon mal kurz anklingen lassen, geht es ja oftmals um diese Hersteller-Thematik. Also wann ist eine Lösung oder wann ist mein Unternehmen jetzt digital souverän?
Michael: Es ist ja gerade vor dem Hintergrund, dass glaube ich Microsoft und Apple um die 90 % Marktanteil haben, was das Betriebssystem angeht und beides nun mal amerikanische Hersteller sind. Wie erlebst du die Diskussion in diesem, in diesem Gremium? Wird die da so auf der Flughöhe überhaupt geführt? Kannst du uns da zwei, drei Insights zu geben?
Jona: Ja, das Thema ist gerade in solchen Gremien sehr omnipräsent. Wir reden viel, also nicht nur in so einer Fachkommission, sondern auch in vielen Gesprächen im Markt ist das immer wieder präsent. Also das ist schon bewusst. Jeder weiß, es gibt hier ein Thema der Souveränität, und ich glaube, dass das vor allem durch zwei Dinge in Deutschland sehr stark getrieben ist, dass dieses Thema immer wieder geführt wird.
Jona: Wir haben zwei starke Ereignisse, die dazu führen. Zum einen haben wir unsere fehlende Souveränität als Land gemerkt, also unsere Abhängigkeit. Als wir in der Gesamtthematik mit Russland, so würde ich es mal einfach beschreiben, um mich hier nicht zu tief in politisches Lager zu stürzen, in der Gesamtthematik mit Russland gemerkt haben, dass wir auf einmal nicht mehr das günstige Gas bekommen, von dem wir bisher so abhängig waren.
Jona: Das hat, ich denke, jeder Mensch, jeder Bürger in Deutschland am Ende gemerkt. Und diese Abhängigkeit haben wir dann ganz schnell im digitalen Raum antizipiert, als wir eine politische Veränderung in den USA erlebt haben. Mit der Trump-Regierung, wo eben auch eine starke Unsicherheit herrscht, was und wie es weitergeht. Die, ich sag mal, ungeschriebenen Gesetze der letzten 20, 30 Jahre für mich, solange ich lebe, die gelten auf einmal gar nicht mehr als so fest.
Jona: Zu große Linien wurden überschritten in den letzten Monaten. Und es herrscht schon so eine Angst, in den Gesprächen schon eine Angst im Markt, dass diese Abhängigkeit oder die fehlende digitale Souveränität uns zum Verhängnis werden könnte und wir dann ähnliches Schreckensszenario erleben. Oder vielleicht ein viel schlimmeres sogar noch, als wir das eine Abhängigkeit zum Gas erlebt haben.
Jona: Und das ist, weshalb das Thema sehr präsent ist und deshalb da viel drüber gesprochen wird, auch von Mitarbeitern entsprechender amerikanisch geführter Unternehmen erlebe ich das viel. Das ist auch für die intern ein starkes Thema ist. Also es ist gar nicht nur in Gremien, es betrifft am Ende ja für mich. Ich muss sagen, ich habe fast jedem Couleur darüber mittlerweile gesprochen, weil es ein so ein präsentes Thema ist.
Michael: Jetzt habe ich ja im Intro schon mal anklingen lassen, diese Studie, die besagt, dass der Großteil der deutschen Unternehmer eigentlich europäische IT-Security-Anbieter präferieren würden, wenn du sie fragst, sie aber faktisch nicht eingesetzt werden. Woher kommt diese Lücke zwischen Wunsch und Wirklichkeit? Ist es dann einfach so, dass die europäischen Anbieter noch nicht auf demselben Niveau sind?
Michael: Haben die ein anderes Preisgefüge oder wo genau steckt da der Kern? Oder gibt es? Ich glaube, für manche Dinge gibt es einfach keine europäischen Anbieter aktuell. Da muss einfach dann noch nachgerüstet werden. Aber diesen ganz großen Umstieg sieht man zumindest am Markt noch nicht. Auch wenn es jetzt zum Beispiel für Endpoint-Lösungen ja schon auch den einen oder anderen europäischen Anbieter faktisch gibt.
Jona: Ich möchte mir nicht anmaßen, der Studie zu widersprechen, aber ich empfinde die Studie als ein wenig zu stark mit Fokus auf die Herstellerfrage gerichtet. Die Hersteller-Thematik ist auf jeden Fall auch eine Thematik. Für mich ist das Gesamtthema der digitalen Souveränität aber viel größer als die reine Herstellerfrage. Erstmal will ich aber auf das eingehen, was du gerade erzählt hast.
Jona: Ich denke, ein großes Thema ist, dass es keine Anbieter gibt oder wenn es Anbieter gibt, die Anbieter nicht in gleicher Qualität liefern wie das amerikanische. Wir reden hier ja gerade vornehmlich von der Abhängigkeit von amerikanischen Anbietern und es gibt wenig europäische Anbieter, die in gleicher Qualität dann mitliefern und oder in gleichem Preisgefüge. Und was noch nicht passiert ist oder was ich bisher wenig im Markt sehe, ist eine Akzeptanz von höheren Preisen für die dadurch gewonnene digitale Souveränität.
Jona: Also wir haben auch immer noch so einen starken Preisdruck im Markt, dass eben häufig der Preis und der günstigere Preis eines möglicherweise dann amerikanischen Anbieters überwiegt. Im Gegensatz zu einem ja vielleicht deutschen Anbieter. Und das denke ich ganz ehrlich, ist aber auch falsch. Ich glaube, das ist falsch.
Michael: Eine Erkenntnis natürlich schon mal gewonnen. Der Wunsch nach digitaler Souveränität zerschellt am Preisschild.
Jona: Am Preisschild und oder an der Verfügbarkeit.
Michael: So können wir es ja schon mal festhalten. Toller Folgentitel.
Jona: Ja, es gibt keine Alternative zu Windows. Also natürlich kann ich jetzt über Linux reden, aber ob Linux nicht auch komplett durchsetzt ist von Sicherheitslücken, die amerikanische Geheimdienste im Falle eines Falles ja genau eins falls nutzen könnten, um Europa in die Steinzeit zurückzusetzen, würde ich mal stark bezweifeln. Gerade nach dem, was wir erlebt haben, dass Projekte lange liefen, um in Dependencies und Linux sehr tief Sicherheitslücken einzubauen, bin ich privat zumindest der Überzeugung, trotz des Open-Source-Themas, dass wir kaum ein Betriebssystem gerade aufbauen können, ohne da nicht eine starke Gefahr einer Abhängigkeit an die Amerikaner zu haben.
Jona: Und das ist einfach das zweite große Thema: Es gibt nichts.
Michael: Ja, es gab ja auch ein Pilotprojekt. Schleswig-Holstein ist ja umgestiegen und anhand dieses Projektes hat man ja auch gesehen, wie lange so etwas dauert und b welche monetären Ressourcen ich reinstecken muss, um dann diese Abhängigkeit aufzulösen. Und jetzt muss man halt mal schauen, was haben wir denn am Ende auch daraus gewonnen? Sicherlich ein sehr spannendes Pilotprojekt, aber ich habe noch von wenig Nachahmern gelesen, die da einen ähnlichen Weg beschreiten wollen.
Jona: Genau. Und ich will auch meine Schwarzmalen vielleicht ein bisschen aufweichen. Ich bin der Überzeugung, dass digitale Souveränität kein binärer Zustand ist. Ich bin nicht souverän oder bin es nicht, sondern es ist ein Weg. Es ist Konsistenz. Es ist Disziplin, die mich dahin führt. Und ich mag das gerne mit Sport vergleichen. Du, Michael, ich weiß, bist Läufer, bist dieses Jahr glaube ich dann Halbmarathon gelaufen, also angefangen hast zu laufen, konntest du kein Halbmarathon laufen.
Jona: Du hast eine ganze Zeit dafür gebraucht. Und digitale Souveränität ist genau das. Das ist das Gehen in die richtige Richtung. Das nach und nach richtige Dinge tun, um das irgendwann zu erreichen. Vielleicht auch als ultimatives, unmögliches Ziel mehr auszuschreiben, aber zumindest immer wieder im Hinterkopf zu haben und in meine Entscheidungsfindung mit einzubauen. Und nur weil ich jetzt sage, Linux ist vielleicht nicht die sicherste oder nicht, die nicht die sicherste, mag ich wieder kassieren.
Jona: Linux ist vielleicht nicht auch mit Sicherheitslücken durchsetzt. Ist es vielleicht trotzdem der richtige Weg, eine Umgebung auf Linux umzustellen? Starte ich mal bei einer Server-Umgebung, um dann irgendwann die kleinen vielleicht nachzuziehen? Vielleicht doch nicht. Statt zu sagen, ach, es geht ja eh nichts, muss ich nichts machen. Also jeder Schritt ist ein guter Schritt.
Michael: Dieses Thema vielleicht für den Moment zuzumachen. Glaubst du, digitale Souveränität für ein Unternehmen ist auch möglich mit amerikanischen Herstellern?
Jona: Auf jeden Fall. Souveränität bedeutet für mich nicht, dass ich rein deutsche Unternehmen kaufen muss, sondern Souveränität.
Michael: Das sowieso nicht. Genau das war der Schrei nach europäischen Herstellern. Ist ja recht groß und alle hätten sie am liebsten gerne. Und das wird ja in den Medien so kommuniziert, als wäre das der einzige Weg, der machbar ist. Wir müssen uns von amerikanischen Herstellern lösen.
Jona: Und genau das sehe ich nicht. Ich sehe amerikanische Hersteller als ein wichtiges, unverzichtbares Puzzleteil. Aber ich muss eben dann auch schauen, ob ich in meinen Puzzle nicht auch japanische Unternehmen mit aufnehme. Andere europäische, französische, deutsche Unternehmen. Es geht um die Gesamtheit. Und Souveränität bedeutet für mich, ich muss von vielem was holen und nicht alles von einem.
Michael: Doch noch was zu den Herstellern anfügen. Dazu sollten sich gerade beschäftigen, eine Lösung zu evaluieren gibt es ja mittlerweile auch Dinge, auf die man bei amerikanischen Herstellern, wenn man einen solchen mit betrachtet, achten sollte. Zum Beispiel haben die mittlerweile Server-Cluster gebildet, die dann eben nur in Europa stehen oder oder oder. Kannst du da zwei, drei Tipps mit an die Hand geben?
Jona: Ich glaube keine Tipps, die viel Hoffnung schaffen. Das ist meine ganz private Meinung, muss ich vielleicht vorwegschicken, aber ich bin der Überzeugung, wenn wir hier ein Worst-Case-Szenario erleben sollten, ich halte das für extrem unwahrscheinlich, dass das passiert. Aber sollten wir erleben, dass eine amerikanische Regierung seinen Unternehmen untersagt, mit europäischen gewissen Firmen oder einem Gesamtmarkt Business zu machen, dann werden auch europäisch gehostete Serverfarmen betroffen sein.
Jona: Also wir erleben ja Sanktionen gegen Einzelpersonen. Aktuell gibt es ganz wenige Fälle, aber diese Personen bekommen dann weder ein Bankkonto bei Visa, Mastercard, American Express noch bei PayPal, obwohl vielleicht Teile der Unternehmensstrukturen in Europa auch ansässig sind. Da habe ich wenig Hoffnung. Ich halte es trotzdem für richtig, dass die Server und Daten und der ganze Rattenschwanz in Europa stehen, aus anderen Gründen.
Jona: Aber ich glaube ganz persönlich, dass wenn der rote Knopf gedrückt wird, dann wäre egal, wo die Server stehen würden. Es gibt aber viele andere Gründe, darauf zu achten. Warum ist das wichtig? Dinge in Deutschland, in Europa zu machen und wenn es nur Rechenzentren sind, ob es Chips sind, Chips auch, ob es Autofabriken sind. Weil ich der Überzeugung bin, dass der ganze Rattenschwanz, der dahinter steht, eben auch aufbaut.
Jona: Also warum sollte ich einer suresecure, Achtung Eigenwerbung, warum sollte ich suresecure einen Auftrag geben, obwohl auch eine suresecure mit amerikanischen Infrastrukturdienstleistern arbeitet? An gewissen Stellen auch mit japanischen. Aber warum auch? Warum es trotzdem für mich relevant, weil eine suresecure in Deutschland Mitarbeiter beschäftigt. Die IT, die Wissen haben, die Incident-Response-Wissen haben. Ich baue ja trotzdem extrem viel Knowledge auf und ich habe eine Menge anderer Vorteile, die aber nicht unbedingt das Rote-Knopf-Szenario betrachten.
Jona: Das halte ich für so unrealistisch und unwahrscheinlich, dass wir eigentlich uns gar nicht auf das Rote-Knopf-Szenario vorbereiten müssen für einen Großteil der Unternehmen. Für manche Unternehmen eben schon. Wenn ich die Bundesdruckerei wäre, würde ich mir andere Gedanken machen. Aber ich würde mal behaupten, die wenigsten Unternehmen und die wenigsten deiner Hörer werden die Anforderungen einer Bundesdruckerei haben. Und dann gibt es eine Menge anderer Vorteile, die aber eben nicht auf diese Rote-Knopf-Szenario abzielen.
Michael: Das weißt du natürlich nicht. Also ich weiß nicht, der oder die Head of Security der Bundesdruckerei hier zuhört, dann gerne mal schöne Grüße melden. Ja, genau. Schöne Grüße. Gerne mal melden und gerne auch mal vorbeikommen.
Jona: Und weißt du, was ich dann toll fand? Genau das Vorbeikommen. Und dann setzen wir uns noch mal zu dritt zusammen. Und dann würde ich gerne mal hören, wie eine Bundesdruckerei das Thema der digitalen Souveränität behandelt.
Michael: Souveränität ist jetzt wieder die perfekte Überleitung zu. Glaubst du, dass die, kannst du auch ganz schnell mit Ja oder Nein beantworten, glaubst du, dass das Thema der Souveränität in naher Zukunft ein echtes Kaufargument werden wird? Oder wird es, wie es aktuell halt eben auch gehandhabt wird, gerne irgendwo mit reingeschrieben, aber wenn es am Ende um Preis geht, ist es dann doch nicht mehr der ausschlaggebende Punkt.
Michael: Nein, kannst du doch nicht mehr mit einer Meinung.
Jona: Darf ich länger antworten als Nein. Ich gebe mir Mühe, das kurz zu machen.
Michael: Ja, ja.
Jona: Nein. Ich glaube, dass das Thema der digitalen Souveränität nicht so groß wird, dass es Entscheidungsstreiber ist. Ich glaube aber, es wird größer und Entscheidungen werden ja aufgrund unterschiedlichster Eigenschaften getroffen. Und ich bin der Überzeugung, dass es immer mehr an Gewichtung gewinnen wird und immer häufiger mal Entscheidungen dann verändert ausfallen. Dafür muss aber alles andere in einem Entscheidungsprozess auch passen.
Jona: Also niemand wird ein europäisches Unternehmen beauftragen, was aber eigentlich, woran ich glaube, dass es ihn schützt. Um das jetzt ganz hart zu formulieren: Also nein, es wird nicht der eine ausschlaggebende Punkt sein, aber ja, ich glaube, es wird immer und immer relevanter.
Michael: Jetzt denken wir uns mal ein bisschen in das Gremium rein, in dem du aktiv bist, und zwar mal angeteasert, werden dort auch Diskussionen geführt, wie man quasi europäische oder deutsche Hersteller von bestimmten Security-Lösungen unterstützen kann. Sprich gibt es Ideen von Subventionen, Kauf europäisch, dann wird die Lösung irgendwie subventioniert oder solche Dinge. Weil gerade wenn wir aktuell ja auch nicht die besten Lösungen am Markt haben, faktisch, wenn man sich Rankings anguckt, Gartner Quadranten und und und da gibt es glaube ich keine, werden glaube ich auch kaum gelistet.
Michael: Also habt ihr dann auch spezielle Anbieter im Blick, die ihr durchdiskutiert? Wie kann man die stärken? Wie kann man, wie kann man die schützen? Wie kann man die unterstützen, damit die eben am Markt stärker reifen können, wissend, dass der Konkurrenzdruck eben extrem hoch ist?
Jona: Also das ist auf jeden Fall Thema und immer wieder Thema. Ist natürlich ein schwieriger Grad, da was zu finden, was den Markt animiert. Und ich glaube, deshalb ist auch das ein Thema, was einfach Zeit dauert. Wenn wir dann auf der Cyber Nation nächste Woche sind, haben wir auch da ein paar Agenda, die genau sowas mit beinhalten und die auch Hersteller entsprechend mit in die Gespräche sogar bringen, damit sie ihre Sichtweise zeigen können.
Jona: Also auf jeden Fall ist das immer wieder Thema.
Michael: Gut. Überleitung Cyber Nation 2026. Wir wollten sowieso noch drüber sprechen. Die findet statt am 23., 24. Juni 2026 in Berlin unter dem Motto Cyber Nation 26. Wir bauen die Cyber Nation von der Vision zur Wirkung. Du bist ja nicht nur Gast, sondern wir haben es jetzt schon mehrfach angesprochen. Eigentlich ja auch Mitgestalter, Mitwirkender. An dieser ganzen Initiative Agenda hast du gerade schon angeteasert.
Michael: Es gibt ein paar super spannende Punkte. Es gibt aber auch vor allem unfassbar gute Speaker, die dort dabei sind. Angefangen natürlich BSI-Präsidentin Claudia Plattner ist dabei, Bundesminister ist dabei, sind Parlamentarier dabei. Es sind aber auch Internationale dabei, die alle aus der Praxis so ein bisschen berichten. Leute von der Universität. Also eine sehr, sehr breite Mischung aus dem Unternehmertum.
Michael: Institutionen und Politik gibt es. Für sie Treffen, sage ich mal, immer eine klare Erwartungshaltung. Von denen, die dort geladen sind, wird das Protokoll vom letzten Mal besprochen und dann setzt man sich wieder an Themen, wird etwas erarbeitet, gib uns ein paar Impulse.
Jona: Also die Cyber Nation in der Form findet jetzt zum zweiten Mal statt. Es gab letztes Jahr die Auftaktveranstaltung zu Cyber Nation und ich glaube, das war eines der produktivsten Formate, an dem ich in den letzten Jahren teilgenommen habe. Das Gesamtkonzept sieht vor, dass es zum einen Podiumsdiskussionen, Fishbowl-Diskussionen, also auch sehr interaktive Diskussionen gibt, aber eben auch Vorträge von zum Beispiel Claudia Plattner, was ich für extrem wertvoll halte, da immer noch mal aus erster Hand mitzubekommen, wie ein BSI, wie eine Frau Plattner die Welt sieht, kürzen das mal einfach so ab und dann aber anderes sehr, sehr großes Thema.
Jona: Und da wird viel erarbeitet. Sind die World Cafés. In World Cafés strukturieren wir uns in verschiedene Gruppen, in Themenbereiche, Stationen sozusagen ein bisschen wie ein Zirkel auf, an dem man sich trifft. Dann wird man in einer Gruppe zugehörig durch die verschiedenen Stationen für eine gewisse Zeit gehen, um dann Themen zu diskutieren, Vorschläge, Ideen zu sammeln und die im Anschluss aufzubereiten.
Jona: Es ist also ein bisschen wie eine Mischung aus Vorträgen, interaktiven Vorträgen und dann aber auch sehr kreativen und nachhaltigen Gestalten. Weil die Ergebnisse der World Cafés uns dann in der Bundesfachkommission im Nachgang auch wieder helfen, Gespräche und Positionspapiere in die richtige Richtung zu bringen. Ja, genau so sind eigentlich zwei Tage gestaltet. Für mich ein sehr, sehr wertvolles Format.
Jona: Und dann habe ich drumherum noch die gesamten Gespräche, die mit allen anderen Teilnehmern stattfinden. Wir sind zwei Tage in Berlin, dementsprechend hat man viel Zeit, immer wieder in Themen auch mal außerhalb der offiziellen Agenda einzusteigen. Und hier treffen sich die genau richtigen Schlüsselentscheider, um nachhaltig auch was verändern zu können.
Michael: Das klingt erst mal total gut und stark. Jetzt kennen wir oder ich es von anderen Events auch so, es wird. Nach dem Event gibt es tolle LinkedIn-Beiträge, die man dann sich anschauen kann. Es gibt tolle Fotos, wie man wieder getroffen hat. Wenn du sagst, es hat schon einmal stattgefunden, gibt es daraus schon konkrete Dinge, die auch umgesetzt wurden.
Michael: Also ich möchte darauf hinaus, wo genau findet die Wirkung und wie findet diese Wirkung dieses Formats statt? Wenn sich so viele schlaue Security-Experten aus Politik, Ausbildung, aus der Wirtschaft zusammentreffen an einem Ort? Es wäre schade, wenn es nichts gäbe, was man irgendwie im Nachgang auch konkret anpacken kann.
Jona: So eine große Sache, die letztes Jahr viel besprochen wurde und die wir jetzt alle gemerkt haben, die umgesetzt wurde, ist eine NIS-2. Wir haben vorhin schon drüber geredet. Letztes Jahr zur Cyber Nation war das Thema NIS-2-Umsetzungsgesetz sehr präsent. Seinerzeit war es eben noch nicht umgesetzt. Wir waren vor der parlamentarischen Sommerpause, wenn ich es richtig in Erinnerung habe, und vieles von dem, was wir da eben besprochen haben, hat sich auch um das Thema: Wie wird NIS-2 gestaltet, wie wird es umgesetzt, gedreht.
Jona: Nicht jede Formulierung im Gesetz ist am Ende basierend auf dem, was wir da besprochen haben. Das muss man auch so sagen. Also da gibt es schon auch auch deutliche Worte dazu, wie es am Ende formuliert wurde. Ich bin aber schon der Überzeugung, dass genau dieses Event letztes Jahr auch dazu geführt hat, dass das NIS-2-Umsetzungsgesetz vielleicht sogar in der Form kommen zu lassen, der es heute gekommen ist.
Jona: Das ist natürlich das Schwierige an Event, die dann auch so nah an der Politik sind, dass man nie genau weiß, aus welchem Gespräch, aus welchem Event, aus welchem Zusammenkommen, aus welcher Beziehung ist am Ende was entstanden? Das war letztes Jahr so, das wird auch dieses Jahr wieder so sein. Ich bin aber der Überzeugung, wenn du die richtigen Menschen für eine Zeit in einen Raum zusammen einsperrt, sozusagen, dann kann dabei am Ende nur was Gutes rumkommen, weil wer weiß, vielleicht wird genau da die Beziehung, wird genau da das Gespräch geführt, was zu einem Umdenken führt, was ja, was eine Frucht ist, was fruchtbar am Ende was erzeugt oder ein Samen, der dann wachsen kann.
Jona: Das habe. Ich will mich ein bisschen deiner Frage entziehen.
Michael: Was.
Jona: Ich gar nicht ganz konkret entstanden ist, aber so ein NIS-2-Gesetz ist das, was ich vom letzten Jahr mitnehmen würde.
Michael: Aber ich habe eine Idee. Die Folge, die jetzt hier erscheint, 18.06., am 23., 24.06. ist das Event. Was hältst du von uns, direkt danach noch mal zusammensetzen, eine Recap-Folge aufnehmen und dann kannst du uns live von dieser Konferenz berichten, was alles Grandioses passiert ist.
Jona: Ich habe ein bisschen Sorge davor, dass ich mich dann nicht mehr vor den Antworten herausfinden kann. Aber ich denke, vielleicht ist genau das der Reiz. Lass uns das machen. Finde ich gut.
Michael: Perfekt. Das ist gut. Jetzt machen wir langsam eine Klammer drum um diese Folge vielleicht. Abschließend, wenn wir in zwei Jahren uns diesen Podcast hier vielleicht noch mal anhören, woran würdest du messen, ob wir in Deutschland bei dem Thema digitale Resilienz und Souveränität wirklich vorangekommen sind oder ob wieder zwei Jahre vergangen sind und wir eigentlich nur geredet haben? Sind es die Anzahl erfolgreicher Angriffe?
Michael: Ist es wirklich der Einsatz, der prozentuale Anteil von europäischen Herstellern? Was ist es?
Jona: Ja, ich habe jetzt schon verstanden. Du möchtest auch hier konkret was von mir hören. Am liebsten wäre mir, dir was weichgewaschenes zu geben. Eine Nicht-Antwort.
Michael: Aber ich. Wir sind ja nicht hier bei der Nachbesprechung eines Fußballspiels, da zieht sowas natürlich.
Jona: Woran würde ich das ganz konkret messen? Ich sag mal, es ist der, es wird die Umsetzung, der Einsatz europäischer Anbieter und europäischer Software sein. Warum unterscheide ich zwischen Anbietern und Software? Ich habe vorhin schon kurz ausgeführt: Ich bin der Überzeugung, dass man vor allem auch auf Service Provider setzen muss, die europäischen Hintergrund haben. Natürlich bin ich als Geschäftsführer eines deutschen Service Provider im Cyber-Security-Markt da ja vielleicht biased.
Jona: Aber ich bin der Überzeugung, dass genau das richtig ist. Das machen wir es ja so, wie wir es machen ohne Offshore, ohne den Einsatz von eben dann doch wieder eine Abhängigkeit in einem anderen Land. Also kurze, konkrete Antwort: Die Durchdringung der Einführung von europäischen Anbietern und Herstellern.
Michael: Okay, da machen wir es fest. Da müssen jetzt erst mal zwei Jahre vergehen. Zwischendurch noch mal drüber sprechen. Keine Sorge, ich bedanke mich erstmal bei dir für deine Zeit. Vielen Dank für die wertvollen Insights in eure Arbeit da in dem Gremium. Ich bin sehr gespannt, wie die jetzt anstehende Cyber Nation dann wird, werden darüber sprechen und allen Zuhörerinnen und Zuhörer vielen Dank fürs Zuhören.
Michael: Bleibt sicher und gesund. Jona, du darfst dich auch gerne noch aus diesem Podcast verabschieden.
Jona: Tschüss! War schön mit euch und schön mit dir, Michael. Vielen Dank!