Becoming CTO Secrets
Becoming CTO Secrets ist der Podcast für ambitionierte Tech-Leader, angehende und aktive CTOs und Unternehmer, die Technologie nicht nur verwalten, sondern strategisch wirksam einsetzen wollen.
Hosted von Philipp Deutscher, langjähriger CTO, Coach, Experte und Sparringspartner für Führungskräfte mit knapp 20 Jahren Erfahrung im Aufbau, in der Skalierung und der Führung internationaler Tech-Organisationen.
In diesem Podcast geht es nicht um Buzzwords oder Karriere-Romantik, sondern um die Realität der CTO-Rolle:
Verantwortung, Entscheidungsdilemmata, Macht, Einfluss, Technologie und die oft unbequemen Wahrheiten dazwischen.
Jede Episode beleuchtet zentrale Fragen moderner CTO-Führung:
- Wie entsteht echte Wirksamkeit im C-Level?
- Wie baust du leistungsfähige Engineering-Organisationen?
- Wie triffst du gute Entscheidungen unter Unsicherheit?
- Wie verbindest du technische Exzellenz mit Business-Impact?
- Wie navigierst du Skalierung, Kultur, Konflikte und politische Spannungsfelder?
Neben Solo-Episoden erwarten dich offene, ehrliche Gespräche mit erfahrenen CTOs, Tech-Executives und Entscheidern aus unterschiedlichsten Branchen mit konkreten Learnings, Denkmodellen und Perspektiven, die sich direkt auf deine eigene Rolle übertragen lassen.
Becoming CTO Secrets richtet sich an Menschen, die mehr wollen als Titel.
An Tech-Leader, die Verantwortung übernehmen, Wirkung entfalten und Technologie als strategischen Hebel verstehen.
Becoming CTO Secrets
#46 Quantencomputer werden alles brechen – und wir sind zu spät
Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.
In dieser Episode von Becoming CTO Secrets spricht Philipp Deutscher mit Nils Gerhardt, CTO von Utimaco, über die Zukunft der Cybersecurity – und warum viele Unternehmen heute noch nicht verstehen, was wirklich auf sie zukommt.
Im Zentrum stehen zwei fundamentale Entwicklungen: Post-Quantum Cryptography und Artificial Intelligence. Technologien, die nicht nur bestehende Sicherheitskonzepte infrage stellen, sondern das gesamte Verständnis von Vertrauen, Identität und digitaler Infrastruktur verändern werden.
Nils gibt tiefe Einblicke in die Realität hinter den Buzzwords:
- Warum Quantum Computing nicht mehr ein fernes Zukunftsszenario ist, sondern bereits heute strategische Entscheidungen beeinflussen sollte.
- Warum AI nicht nur Effizienz bringt, sondern auch völlig neue Angriffsvektoren schafft.
- Und warum viele Unternehmen aktuell noch zu spät reagieren.
Darüber hinaus geht es um die Rolle des CTOs in einem hochdynamischen Umfeld:
- Wie trifft man die richtigen Innovationsentscheidungen unter Unsicherheit?
- Wie verbindet man technologische Exzellenz mit Business Impact?
- Und wie navigiert man Spannungsfelder zwischen kurzfristigem Wachstum und langfristiger Technologie-Strategie – insbesondere in einem Private-Equity-geprägten Umfeld?
Eine Episode für alle, die verstehen wollen, wie sich Security, Technologie und Führung in den nächsten Jahren verändern werden – und welche Rolle CTOs dabei wirklich spielen.
🚀 Becoming CTO Secrets ist ein Podcast von Philipp Deutscher Consulting
→ www.deutscherconsulting.com
📘 Whitepaper „Entwickler Heute, CTO Morgen“
→ whitepaper.becomingctosecrets.com
📑 CTO Report 2025: Archetypen, Technologien, Zukunftsszenarien
→ ctoreport.becomingctosecrets.com
🤝 Becoming CTO Community
→ deutscherconsulting.com/becoming-cto-community
🎯 CTO Coaching Programm
→ deutscherconsulting.com/cto-coaching
💬 Vernetze dich mit Philipp auf LinkedIn
→ linkedin.com/in/philippdeutscher
Hallo und herzlich willkommen zu Becoming CTO Secrets, eurem Lieblingspodcast rund um die CTO-Rolle. Ich bin immer noch Philipp Deutscher, externer CTO, CTO-Coach und Gründer der Becoming CTO Community. Heute zu Gast im Flausching Podcast ist Nils Gerhard. Er ist der CTO der Utimarco. Er verantwortet dort Advanced Development sowie die Innovationsstrategie in Bereichen wie Hardware Security Modules, Post Quantum, Cryptography, das sind auch schwierige Wörter jedes Mal in der Einleitung. Und Confidential Computing. Und mit seiner internationalen Erfahrung über Engineering, Produkt und Business hinweg verbindet er tiefes technologisches Verständnis mit klarer strategischer Ausrichtung. Und in einem private Equity getriebenen Umfeld treibt er Innovation dort voran, wo sie echt einen Impact auf Sicherheit und Geschäftserfolg hat. Nils, herzlich willkommen.
SPEAKER_00Vielen Dank, Philipp. Freue mich, dass ich heute da bin und ein bisschen Einblick in mein Leben als CTO geben kann.
SPEAKER_01Dann wollen wir auch gleich mal einsteigen in den Einblick. Also Nils, wenn du heute auf die Zeit als CTO zurückblickst, oder, nee, nicht zurückblickst, auf die nächsten fünf bis zehn Jahre blickst, die da vor uns noch liegen. Was ist die eine Entwicklung im Security-Bereich, die alles verändern wird, die du gerade antizipierst, aber die noch massiv unterschätzt wird?
SPEAKER_00Eigentlich muss ich sagen, haben wir zwei. Ich weiß nicht, ob ich mich auf eine festlegen mag heute schon, was wirklich so die prägendste sein wird in der Zukunft, die da kommt. Wir kommen daher, dass wir in der Cybersecurity einige Änderungen durchgemacht haben. Es fing mit Cloud an. Da hat sich das ganze Parameter verschoben. Von on-prem in die Cloud rein, da musste man sich ganz neue Sachen ausdenken, wie schützt man das Ganze, wenn das für jemand anders die Infrastruktur betreibt. So, und der nächste Schritt war dann, dass Quantencomputer immer relevanter wurden. Die wurden immer weiter stärker in dem, was sie so können und bedrohen heute die Kryptografie, wie wir sie kennen. Das heißt, alles, was wir heute benutzen, auch für die Verschlüsselung, die wir jetzt wahrscheinlich gerade wir beide benutzen, während wir diese Aufnahme machen, die basiert auf Technologien, auf Kryptotechnologien, die potenziell von einem Quantencomputer geknackt werden können in ein paar Jahren. Das heißt, wir haben den nächsten Trend, der wirklich fundamental ändert, wie wir heute denken und wie wir heute Sicherheit betreiben. Und das bedeutet wirklich, dass die Kryptografie ganz auf einem Tag auf einmal nicht mehr funktioniert und wir dann nach vorne raus uns was Neues ausdenken müssen, wie machen wir die Systeme sicher. Und das, was wir, glaube ich, alle noch nicht so richtig umspannen haben, das ist das Thema AI. Und was AI wirklich da noch bringt an Herausforderungen, nicht nur die Echtzeitfähigkeit der AI, Angriffe zu fahren und zu verteidigen, wird interessant, sondern auch so Aspekte wie fundamental die Art und Weise unseres Denkens in der Cybersicherheit ändern, nämlich dass wir Agenten haben, die für uns Entscheidungen treffen. Wie kann ich das am besten kontrollieren und auch sicher gestalten, dass ich mir AI zunutze machen kann? Das sind so die wirklichen Herausforderungen, die ich für die nächsten fünf bis zehn Jahre sehe.
SPEAKER_01Und du siehst auch, dass das Thema Quantum Computing, wird das aktuell noch so massiv unterschätzt? Also natürlich, es ist noch nicht da, deswegen rennen wahrscheinlich die allerwenigsten in vorauseilendem Gehorsam voraus und versuchen, das schon zu antizipieren. Aber man hört auch gerade im Bereich der Verschlüsselung oder auch im Bereich, was jetzt den Bitcoin angeht, hört man ja schon diverse Meldungen, die auf der einen Seite Panik versuchen zu schüren oder auf der anderen Seite versuchen, das richtig einzuordnen. Wie siehst du das? Ist da gerade eher Panikmache unterwegs oder wird das schon noch differenziert betrachtet an den meisten Stellen?
SPEAKER_00Ich glaube, wir hatten eine ziemlich lange Phase, wo das Thema unterschätzt wurde. Ich glaube, dass vielfach die Meinung vorherrschte, dass Quantencomputer ja noch fünf bis zehn Jahre entfernt sind, bis sie wirklich in der Lage sind, also auch wirklich Kryptografie zu brechen. Quantencomputer kann man ja heute schon verwenden, aber die sind eben nicht stark genug, um Kryptografie tatsächlich auch wirklich zu brechen. Aber gerade mit dem Announcement, was jetzt, ich glaube, letzte Woche rausgekommen ist von Google, dass sie ihre eigene Roadmap für die Quantensicherheit bei Google selber vorziehen auf 2029, da muss man sich schon fragen, sind wir nicht eigentlich schon zu spät? Denn wer weiß es besser als eine Firma, die Quantencomputer erstellt. Und wenn die sich selber auferlegen, schneller fertig zu sein, schneller die neue Art der Sicherheit einzuführen, dass sie weiterhin einen Schutz haben, dann bedeutet das ja, da ist ja eine reale Bedrohung dahinter. Die machen das ja nicht einfach nur, damit sie eine Umstellung hier machen. Und deswegen glaube ich, dass wir eher zu spät sind als zu früh, diese Technologie einzuführen. Und das gilt für alle Unternehmen. Denn wir haben alle ja nicht nur Sachen, die wir schützen wollen in der Vertraulichkeit, sondern wir haben auch Dinge, wo wir uns überlegen müssen, unsere Identitäten, all das, unsere Verträge, die wir digital signiert haben. Was passiert damit? Es gibt das Risiko, dass all das nicht mehr gültig ist in der Zukunft.
SPEAKER_01Wer verschläft das gerade komplett?
SPEAKER_00Ja, also komplett kann man nicht unbedingt sagen. Also wir haben durchaus einige Kunden, die sich auf dem Gebiet wirklich rechtzeitig darum gekümmert haben und die an der Einführung arbeiten, auch an ihren eigenen Produkten arbeiten. Aber ich glaube, es ist nicht so hoch auf der Agenda von vielen kleinen und mittelständischen Unternehmen, weil es einfach etwas ist, wo man sehr viel Spezialexpertise braucht, wo man vielleicht auch viel mit anderen Herstellern arbeitet, viel auf andere Roadmaps angewiesen ist. Ich glaube, dass da einfach das Thema noch nicht so stark durchgedrungen ist, wie es eigentlich ist.
SPEAKER_01Es hat auch noch keinen Impact, glaube ich. Also das ist für viele ist der potenzielle Impact aktuell noch schwer einzuschätzen. Es ist natürlich potenziell steht, jede Möglichkeit von Verschlüsselung steht auf dem Prüfstand. Welchen Impact das aber dann tatsächlich im realen Leben haben wird, wer Zugriff hat auf Quantum Cryptography und wer nicht, das ist ja auch noch gar nicht sicher. Also wie können sich denn Unternehmen hier sinnvoll absichern oder sinnvoll anfangen, in diese Richtung zu denken? Hast du da, oder habt ihr da eine Strategie?
SPEAKER_00Ich glaube, dass viele Organisationen ganz gute Vorlagen gegeben haben. Das NIST zählt dazu, aber auch das BSI, wenn man auf den deutschen Markt schaut, haben da tatsächlich auch Leitfäden rausgebracht. Was ist denn eigentlich Quantumkryptografie? Was muss man denn da eigentlich machen, um sich zu schützen? Also ich glaube, das sind gute erste Schritte für Firmen und natürlich können sie auf Firmen wie uns zukommen, wo wir natürlich auch sehr gerne helfen, die ersten Schritte zusammenzugehen und zu schauen, wie kann man eigentlich in die Welt von Quantumkryptografie einsteigen und das für sich nutzbar machen. Ich glaube einfach, dass bei vielen Firmen, wie du schon gesagt hast, selber das noch nicht so stark auf dem Fokus war, weil natürlich ganz andere Themen relevant sind, vom Umsatz- und Geschäftsentwicklung und die ganze geopolitische Lage. Ich glaube, dass sich das so langsam ändert, weil eben der Horizont, also wann ist so ein Quantencomputer in der Lage, Krypto zu brechen, der wird natürlich deutlich kleiner. Das heißt, das wird jetzt auch relevant für das Board, was jetzt gerade die Firma leid lenkt. Und das ist, glaube ich, eine Sache, wo sich jetzt wirklich in den nächsten wenigen Jahren, also in den nächsten ein, zwei Jahren, diese Umstellungszyklus stark beschleunigen wird.
SPEAKER_01Was sind die Unternehmen, die sich jetzt anfangen, gerade mit dem Thema zu beschäftigen, während gerade die vielleicht kleinen und mittelständischen Unternehmen das noch gar nicht auf der Agenda haben?
SPEAKER_00Also mittlerweile kriegen wir Anfragen aus verschiedenen Bereichen. Also wir haben wirklich große Firmen aus dem SP 500, aber wir haben eben auch mittlerweile kleinere Firmen, die sagen, wir müssen das Thema für uns angehen. Also ich würde sagen, die Awareness ist jetzt da, was natürlich immer, oder diejenigen, die meistens als erstes agieren, sind die, die stark reguliert sind. Also die Finanzindustrie beispielsweise hat sicherlich schon früh angefangen zu schauen, wo haben sie denn überall Kryptografie im Einsatz, wie könnten Migrationsszenarien aussehen. Dann natürlich auch im Government-Bereich, wo ich über sensitive Daten spreche, über klassifizierte Daten spreche. Auch das spielt natürlich eine Rolle. Also das sind so die Organisationen, die sich natürlich auch sehr stark bewegen. Aber wir haben wirklich mittlerweile Kunden aus allen Bereichen, also von der Satellitenkommunikation bis in Bereiche rein, wo Firmware-Signaturen gemacht werden. Also es ist wirklich breit gefächert von Firmen, die heute schon Quantumkryptografie einsetzen.
SPEAKER_01Jetzt hast du eben auch noch das Thema AI Security mit in den Raum geworfen. Was siehst du da gerade als den größten Angriffsvektor oder die größte Gefahr in dem Bereich?
SPEAKER_00Das ist eine sehr gute Frage. Ich glaube, das ist die Geschwindigkeit. Also die Geschwindigkeit, mit der sich die Technologie verändert, mit der die Möglichkeiten bestehen, auch potenziell Schwachstellen auszunutzen. Ich glaube, dass die AI sehr gut darin ist, zu erkennen, was könnte man denn noch an Angriffsszenario nutzen. Wenn man so will, kostet das Ganze auch nichts. Also da brauche ich jetzt nicht zehn Spezialisten hinsetzen, die sich etwas ausdenken, wie so ein Angriff aussehen kann, sondern das machen die Agenten dann schon selbstständig. Und ich glaube, das, was wir da gerade sehen, diese Geschwindigkeit, das ist sehr, sehr schwer zu verteidigen. Also gerade bei Dingen, wo wir ja mittlerweile eine sehr verteilte Supply Chain haben. Wir haben ja ganz oft Firmen, die zuliefern, wir haben ganz oft Teile, die in der Cloud laufen, wir haben ganz oft Teile, die verschiedene Tools eingesetzt werden. Es ist ja nicht nur mal ein Tool, was jetzt die Firma selber entwickelt hat, sondern wir haben ganz verschiedene Ansatzpunkte. Und ich glaube, dass es da sehr, sehr viele Möglichkeiten gibt, da auch für eine AI erfolgreiche Angriffe zu fahren.
SPEAKER_01Du als CTO, du bewegst dich jetzt ja in einem Feld, das ist alles andere als Mainstream, weil da so Themen drin vorkommen wie Post-Quantum, Cryptography, Confidential Computing, AI Security. Wie würdest du deine Rolle in einem Satz beschreiben und wie unterscheidet sich das zu einem, ich sage es jetzt mal so, despektiert die stinknormalen AssARS-CTO?
SPEAKER_00Für mich ist es halt wichtig, dass Innovation und Geschäft zusammenpassen. Das ist eigentlich so das, was in einem Satz für mich die Rolle des CTOs ausmacht. Die Technologien so zu umspannen und so zu erfassen, dass man daraus dann später auch Geschäft generieren kann, und zwar auch rechtzeitig in dem richtigen Time-to-Market. Das ist das, was, glaube ich, auch die Rolle des CTOs nach vorne raus viel stärker definieren wird. Also durch diese ganze Schnelllebigkeit, in der wir gerade angekommen sind, ist es einfach wichtig zu gucken, wie kann ich denn in der Zukunft noch das Time to Market überhaupt sicherstellen, wenn es um neue Lösungen geht.
SPEAKER_01Und wenn du jetzt mal, also ja, wir haben ja dich angekündigt, auch als den CTO von Utimarco, die allerwenigsten werden wahrscheinlich zu Utimarco kennen, auch wenn wir ein sehr nischiger Podcast sind. Vielleicht kannst du kurz noch beschreiben, was macht ihr bei Utimarco? Für was seid ihr bekannt, was ist euer Aufgabenfeld?
SPEAKER_00Ich beschreibe das immer ganz gerne mit so einem Bild. Also wenn man sich mal so eine Smart City vorstellt, man könnte jetzt mal irgendeine Stadt nehmen, ist eigentlich nicht so wichtig welche, aber ich nehme da immer ganz gerne als Bild Singapur, weil die sehr weit waren in dieser ganzen Digitalisierung oder Automatisierung. Die haben ganz viele Anknüpfungspunkte. Es fängt an mit selbstfahrenden Autos, mit neuem Internet, möglichst hoher Bandbreite überall. Es gibt da natürlich Grenzkontrollen, die vollautomatisiert laufen. Es gibt Cloud- und Fintech-Unternehmen, die dort in den Markt gehen mit neuen Angeboten. Und wenn man sich das alles mal anschaut, diese ganze kritische Infrastruktur, die digitalisiert wird, dann braucht die einen Vertrauensanker. Und dieser Vertrauensanker, das ist das, was Utimarco macht. Also wir stellen sicher, dass diese kritische Technologie, die jeder von uns jeden Tag benutzt im täglichen Leben, dass die funktioniert und dass das, was als Basis dafür funktionieren muss, nämlich die Kryptografie, dass die abgesichert ist über Hardware-Sicherheitsmodule, über Key Management, über Datenverschlüsselung, all das stellt die Utimarco bereit. Und das Interessante in unserem Geschäft ist eigentlich, dass wenn ich all diese Lösungen wegnehmen würde, so über Nacht, dann würde wahrscheinlich die meisten Leute, die heute in so einer Stadt leben, die würden das merken im täglichen Leben, weil eben zum Beispiel eine Zahlungsverkehrstransaktion nicht mehr funktioniert. Oder weil man zum Beispiel nicht mehr durch so eine Grenzkontrolle durchbekommt, die heute voll digitalisiert funktioniert. Und das ist das, was die Utimarco auch besonders macht, dass wir einfach diese verschiedenen Bereiche der kritischen Infrastruktur absichern.
SPEAKER_01Und du hast ja vorhin diese zwei großen gefährlichen Themen mit reingeworfen. Was macht Utimarco denn aktuell oder an welchen Baustellen arbeitet ihr, um diese Themen mit anzugehen? Ich nehme an, ihr seid da, ihr habt das auch auf der Agenda, das ist auch Themen, mit denen ihr euch sehr aktiv auseinandersetzt. Also Stichwort AI Security, Strichwort Quantum Kryptografie.
SPEAKER_00Ja. Also erstmal möchte ich dazu sagen, ich finde diese Technologie total spannend und erstmal sehr positiv. Also ich habe natürlich kann man Technologie auch immer für etwas Negatives potenziell benutzen, wie ein Quantencomputer, der dann eben Kryptografie bricht. Aber eigentlich ist ein Quantencomputer ein super Instrument, eine super Technologie, um uns weiterzubringen. Die Art und Weise, wie wir heute Computer kennen, wird sich komplett ändern. Also von wirklich etwas, was man heute eigentlich deterministisch entscheidet, da gibt es viel mehr Möglichkeiten, mit einem Quantencomputer zu arbeiten und zum Beispiel neue Medizin zu entwickeln oder irgendwelche Materialstoffe zu erforschen oder so. Also erstmal ist ein Quantumcomputer etwas Gutes. Jetzt hat er dieses eine Thema, dass er bestimmte mathematische Probleme tatsächlich schneller lösen kann als ein herkömmlicher Computer. Dazu zählt zum Beispiel auch das Faktorieren großer Primzahlen, was die Grundlage ist für unsere Kryptografie. So, und das kann der Quantumcomputer sehr gut. Aber der Quantumcomputer ist kein Generalist, also der kann nicht alles besonders gut. Das heißt, es gibt gewisse Verfahren, die heute sicher sind gegen Quantum-Computerangriffe. Das betrifft zum Beispiel symmetrische Verschlüsselungen, das betrifft hash-basierte Verschlüsselungsverfahren und spezielle Verfahren, die jetzt standardisiert wurden vom NIST und auch adaptiert wurden, also im Prinzip akzeptiert wurden von den meisten Ländern weltweit, die eben post-Quantum sicher sind, also Post-Quantum-Kryptografie, sicher gegen Quantum-Computer-Attacken sind. Und diese Technologie stellen wir zur Verfügung, dass die Kunden diese neuen Algorithmen, die da bestehen, nutzen können und die Quantencomputer eben diese Algorithmen nicht mehr brechen können. Im AI-Bereich ist es ähnlich. Also vielleicht lenke ich nochmal ganz kurz darüber, bevor du die Zwischenfrage stellst. Bei AI ist es ähnlich. Also erstmal hat AI ja einen super Effizienzgewinn für uns alle geschaffen. Wir waren, glaube ich, alle sehr überrascht, als die ersten AI-Modelle rauskamen, was eigentlich alles wirklich möglich ist, und mit welcher Geschwindigkeit sich das entwickelt und wo wir an Effizienzgewinnen werden in der Programmierung, in der Erstellung von Programmen. Wir werden vielleicht eigene Programmiersprachen irgendwann sehen für AI, weil die AI einfach in einer anderen Programmiersprache besser programmieren kann. Vielleicht sehen wir eine ganz neue Generation. Also erstmal ist das eine sehr coole Sache.
SPEAKER_01Sprenggenommen sind es ja auch gar nicht die ersten AI-Modelle gewesen, die jetzt raus sind. Es waren nur die ersten, die dann wirklich weltweites Aufsehen erregt haben. Es gab ja schon davor schon sehr viele, die unter ferner Liefend dann einfach nur stattgefunden haben.
SPEAKER_00Und selbst in meiner Informatikvorlesung, ja, das ist ja schon eine Weile her, hatten wir damals auch schon KI-Vorlesungen. Also es war nicht so, dass das ein komplett neues Feld ist. Aber es war halt, es wird auf einmal zugänglich für jeden. Das ist das, was sich geändert hat. Und das bedeutet natürlich zugänglich für Leute, die damit Angriffe fahren, aber eben auch zugänglich, um damit vielleicht die Verteidigung zu verbessern und auch die Antworten, falls man mal eben angegriffen werden sollte und es gibt einen Impact in der Firma. Wie reagiere ich darauf? Da kann AI auch super helfen, das zu beschleunigen, zu gucken, dass ich eine gewisse Automatisierung da einbaue. Also das hat nicht alles nur Nachteile. Wir haben da sehr viele Vorteile auch, um das im Cybersicherheitsbereich sehr vernünftig einzusetzen.
SPEAKER_01Jetzt mal eine Zwischenfrage Richtung aktuelle geopolitische Spannungen, die es in der Welt gibt und die wahrscheinlich auch nicht weniger werden werden in den nächsten Jahren. Wirken die aktuell eher als ein Beschleuniger auf das Thema AI-Security, Quantum Kryptographie oder auch die Themenfelder, in denen ihr aktuell schon Produkte verkauft? Oder ist es dann eher ein Thema, in dem Unternehmen vorsichtiger agieren, weil sie sagen, wir haben gerade ganz andere Probleme, weil unsere Supply Chain angegriffen wird oder was auch immer. Wir können uns jetzt nicht auch nochmal ganz viel Geld und Budget für Security in die Hand nehmen? Oder läuft das Business genauso stabil weiter, wie es das in der Vergangenheit auch getan haben? Also in welche Richtung schlägt das Pendel aufgrund der aktuellen geopolitischen Auseinandersetzungen, die wir an vielen Orten jetzt sehen?
SPEAKER_00Ich glaube, du hast ein paar Fragen in der Einfrage gestellt. Ich versuche die mal so ein bisschen für mich zu sortieren. Also die erste Antwort ist: die geopolitische Lage hat natürlich eine große Auswirkung und wir fassen das alles so ein bisschen zusammen unter dieser souveränen Diskussion. Also Sovereign Cloud und Sovereign AI und so weiter. Das sind eigentlich die Stichworte zu diesem Thema. Das bedeutet so viel wie, dass ich die Kontrolle darüber habe, wo meine Daten verarbeitet werden, dass ich die Möglichkeit habe, die Daten zu sichern, also zum Beispiel zu verschlüsseln, die Vertraulichkeit sicherzustellen, der Datenintegrität zu schützen, die Verfügbarkeit hochzuhalten und da eben wirklich eine Kontrolle drüber habe. Und das ist ein Thema, das wird immer stärker kommen. Also es ist heute schon etwas, wo viele unserer Kunden uns sagen, wir wollen gerne die Daten trennen von den Schlüsseln, die diese Daten schützen. Diese Schlüssel, die die Daten schützen, die wollen wir gerne in unserer Hoheit haben, die wollen wir entweder bei uns selber hosten oder wir wollen den vertrauensvollen Service von der Utimarco hosten. Die sollen aber eben nicht direkt mit in der Cloud verwaltet werden. Die Daten können gerne weiterhin in die Cloud, aber die müssen halt geschützt werden in sicherer Weise. Und das Ganze wird sogar noch ein bisschen weiter getrieben, wenn man das technisch betrachtet, über das ganze Thema Confidential Computing. Du hast das vorhin schon kurz erwähnt, aber die Möglichkeit, dass man in einer Cloud das, was man dort ausführt, auch während der Ausführung sichert, also mit verschlüsselten Speicherbereichen arbeitet und so, also wirklich von allen anderen Cloud-Workloads trend. Das ist eine Sache, die immer stärker entkommen ist, eben gerade auch wegen der AI. Wenn ich mir vorstelle, heute, du willst irgendwas mit AI machen, dann fängst du ganz oft in der Cloud an. Aber eben ganz oft bei einem Hyperscaler, wo du vielleicht aus bestimmten Gründen, Compliance oder ähnlichen Sachen, gar nicht so einfach AI benutzen kannst. Und wenn du dann eben sowas nutzt wie Confidential Computing, dann bist du schon wieder auf der sicheren Seite. Dann hast du die Möglichkeit, die Daten auch während der Ausführung zu schützen. Alle größeren Cloud-Anbieter auf die amerikanischen haben mittlerweile Verfahren entwickelt, wo du selber dein Schlüsselmaterial hosten kannst und die Kontrolle darüber behältst. Das hat den ganz einfachen Grund, dass du dann eine gewisse Souveränität über deine Daten behältst. Und das ist eine sehr wichtige, wichtige Sache, die im Moment unsere Kunden umtreibt. Wie kann ich wirklich die Kontrolle darüber behalten, wo meine Daten sind und wie diese Daten geschützt sind in der Vertraulichkeit?
SPEAKER_01Ja, gerade wenn es Richtung Confidential Computing geht, auch Trusted Execution, AI Security, wie auch immer man das alles nennen möchte, viele reden ja darüber, aber am Ende des Tages, da ist auch, also siehst du da einen großen Gap zwischen dem, was wirklich an Substanz schon da ist, was man lösen kann und wo beginnt dann der Hype? Oder ist der Hype gar nicht so da und im Endeffekt ist da nur ganz viel Substanz?
SPEAKER_00Also aus meiner Sicht ist da ganz viel Substanz. Ich glaube sogar, dass vielleicht, also der Hype war ein bisschen früher, also gerade für Confidential Computing, da gab es mal eine Phase, da wurde das, als es eingeführt wurde, als wirklich die eierlegende Wollmilchsau für die Absicherung der Cloud gepriesen und dann kam AI irgendwann und viel Fokus ist auf AI gegangen. Und Confidential Computing ist so ein bisschen in den Hintergrund geraten. Nur gerade durch AI wird Confidential Computing jetzt wieder viel relevanter, weil du ja genau eben mit AI-Workloads in die Cloud gehen willst. Und das willst du in sicherer Weise tun. Und das, deswegen, ich glaube, dass alle diese Themen eine wirklich große Relevanz und Substanz haben, sowohl die der Schutz gegen Quantum-Computer-Attacken, auch wenn es vielleicht erst in fünf Jahren passiert und nicht übermorgen. Das Thema AI, ich glaube, das sehen wir heute schon, da muss man, glaube ich, nicht viel zu sagen. Da werden wir noch viel, viel komplexere Angriffe sehen und viel schwierigere zu verteidigende Angriffe sehen in der Zukunft. Und dann eben natürlich auch so Themen wie Confidential Computing, da gibt es auch noch ein paar andere, die da wirklich Substanz haben und eine Rolle spielen und nicht nur Buzzwords sind.
SPEAKER_01Ja, genau, das wäre natürlich dann die Folgefrage. Wie viel Buzzword-Bingo ist da dabei und woran erkennt man das jetzt? Also wenn ich mit dir spreche, da höre ich sehr viel Substanz raus. Auf der anderen Seite sind das auch viele Begrifflichkeiten, die selbst bei Informatik oder technologieaffinen Menschen nicht immer gleich eine stabile Definition der Begrifflichkeit irgendwo abrufbar macht. Confidential Computing vielleicht schon, Trusted Execution, ja, da wird es dann vielleicht schon vage. AI Security kann unwahrscheinlich breit sein. Also wie erkennt man als Außenstehender, der nicht sehr tief in der Branche ist, echte Innovation und kann sie von reinem Buzzword-Bingo abgrenzen?
SPEAKER_00Als ganz Außenstehender ist es gar nicht so einfach. Also da bin ich immer froh, dass ich eben schon auch ein Technologieverständnis habe und mir das auch schon mal im Detail angucken kann und sehen kann, was ist denn davon eigentlich wirklich, was hat Substanz und was ist wirklich nur ein Buzzword. Also nur mal um so ein Beispiel zu geben, wo vielleicht auch mal, sagen wir, eher ein bisschen mehr Marketing betrieben wird. Es gibt solche Dinge wie Quantum Random Number Generators, also Zufallsgeneratoren auf Basis von Quantentechnologie. Und wenn man da mal näher reinschaut, dann haben die absolut ihre Existenzberechtigung, nur sind sie eben auch nicht sicherer als das, was wir heute schon nutzen. So, und dann dar muss man dann eben ein bisschen hintergucken, hinter die Kulissen und schauen, ist das wirklich was, was mich meine Sicherheit erhöht, oder ist das was, wo ich jetzt vielleicht irgendwie auch nicht unbedingt in die Richtung gehen muss, weil das, was wir heute haben, hat einen ähnlichen Sicherheitsstandard. Also das sind so ein paar Aspekte, wo man wirklich hinter die Kulissen gucken muss und schauen muss, was ist da wirklich dran an der Technologie. Was natürlich bei solchen Sachen hilft, das kann ich nur jedem empfehlen, sich eben die NIST anzuschauen. Die NIST hat normalerweise sehr fundierte Informationen, weil es einfach eine sehr offene Organisation ist, also auch für externen Input, für wissenschaftlichen Input. Das gleiche gilt auch fürs BSI. Also so Leitfäden von BSI zu lesen, das ist sicherlich etwas, wenn man sich informiert will, was wirklich funktioniert und was relevant wird in der Zukunft an Technologie und im Sicherheitsbereich, dann sind das sehr gute Quellen. Sehr gut.
SPEAKER_01Mir ist gerade noch, während du erzählst, nochmal der Begriff Quantum Secure, ist mir auch nochmal in den Sinne gekommen. Dieses Label Quantum Secure, kann man das heutzutage guten Gewissens verteilen in bestimmten Situationen? Kann man heutzutage schon mit Sicherheit festlegen, was Quantum Secure ist und was nicht?
SPEAKER_00Es ist tatsächlich eine schwierige Frage, weil es immer ein bisschen auf den Kontext ankommt. Also es gibt ja immer ein System, das wird irgendwo betrieben. Wenn das System natürlich in einer Umgebung betrieben wird, wo gewisse Zugänge gesichert sind und so weiter, kann man sagen, das System mit dem Betriebseinsatz, also dem Einsatz dieses Systems, das ist sicher, das ist konnten sicher. Und dann gibt es aber natürlich auch, wenn man eine ganze Firma betrachtet, ganz viele Stellen, an denen man ansetzen muss. Das fängt mit der Internetverbindung an, wo man vielleicht auch nicht überall direkt einen Einfluss drauf hat, was wird denn da jetzt eigentlich verwendet an Verschlüsselungstechnologie. Also am Ende muss man sagen, muss man da sehr genau hingucken, um zu schauen, wann man wirklich komplett Quantumsafe ist. Ich glaube, der wichtige Aspekt ist, dass man für sich selber feststellt, was sind denn die Daten, die ich schützen will? Was würde denn wirklich passieren, wenn so ein Quantumcomputer Identitäten fälschen kann, Signaturen fälschen kann, was würde dann passieren? Habe ich da irgendeinen Schutz dagegen? Habe ich vielleicht ein Evidence-Log? Habe ich vielleicht eine Verteilung von Dokumenten? Das sind so Dinge, wo ich dann eine Risikobewertung machen muss und einfach schauen muss, wo muss ich denn eigentlich ansetzen und zuerst migrieren und wo habe ich vielleicht noch ein bisschen mehr Zeit, weil selbst wenn da was passiert, das vielleicht nicht das Ende der Welt ist, wenn jemand dann einen gewissen E-Mail-Verkehr oder sowas lesen kann? Also das ist, glaube ich, eine Risikobewertung und dann muss man sich selber eine Roadmap schaffen, die einen dahin führt, vor allem erstmal die Sachen zu schützen, die besonders schützenswert sind.
SPEAKER_01Ja, absolut richtig. Gibt es denn, also welche der Verschlüsselungsmethoden heutzutage sind denn Quantum Secure oder kann man dieses Label wirklich keinem dieser Verschlüsselungsmethoden dann anheften?
SPEAKER_00Doch, also die NIST-Verfahren, die es da gibt, die werden derzeit als quantumsicher gelabelt. Also das heißt zum Beispiel MLDSA oder MLCem, das sind die Abkürzungen dafür. Es gibt auch noch andere LMS, XMSS, es gibt verschiedene Verfahren, die sind standardisiert und gelten als sicher gegen Quantum-Computerattacken. Die kann ich einsetzen, nur muss ich sie eben an ganz verschiedenen Stellen einsetzen. Und da wird es schwierig. Und das ist das, also den Ersteinsatz zu finden. Und nehmen wir mal an, wir fangen jetzt mal an mit den Anwendungsfällen, die zum Beispiel lange im Feld sind. Also wir haben viele Kunden, die gucken auf Firmware Signing als ersten Einsatzbereich. Normalerweise die Firmware, die die Kunden rausbringen, zum Beispiel mit Maschinen, die ist natürlich lange im Feld und dagegen habe ich natürlich auch eine lange Zeitmöglichkeit, hier mit einem Quantencomputer zum Beispiel einen Angriff zu fahren. Wenn ich die rechtzeitig umstelle, dann habe ich schon mal einen sehr, sehr großen Schritt in Richtung Quantumsicherheit gemacht, auch wenn da vielleicht noch Komponenten in den Maschinen sind, die nicht vollständig quantensicher sind, die kann ich aber zum späteren Zeitpunkt zum Beispiel noch updaten. Ich kann ja ein sicheres Firmware-Update machen. Ich kann ja diese Maschine in einen sicheren Zustand überführen und kann dann auch eben Funktionalität nachladen. Also das ist so ein bisschen die Roadmap, die man sich überlegen muss und schauen muss, wo fängt man an, wo setzt man den Anker der Sicherheit an und wo und wie lange braucht man dann wirklich, bis alle Punkte quantum sichert sind.
SPEAKER_01Ist das nicht auch eine trügerische Sicherheit? Denn ich glaube, also natürlich kann man davon ausgehen, dass Quantum safe ist ja kein absoluter Zustand, sondern er beschreibt erstmal Verfahren, die nach aktuellem Stand sowohl gegen klassische als auch gegen künftige Quantenangriffe als schwer brechbar gelten. Vielleicht kann man es mal so sagen. Sie gelten aber auch nur als schwer brechbar. Wenn dann Quantum Computing tatsächlich da ist in voller Ausprägung, stellen wir auf einmal fest, da ist nichts davon, was wir als Quantumsafe gekennzeichnet haben, ist Quantum Safe. Ist das ein realistisches Szenario oder ist das genauso Panikmache, wenn man in diese Richtung denkt, wie, ja, Punkt.
SPEAKER_00Aus meiner Sicht werden wir eine, mit den Algorithmen, die jetzt standardisiert sind, werden wir eine Sicherheit erreichen. Natürlich ist diese Sicherheit nicht potenziell für ewig garantiert. Natürlich kann es neue Verfahren geben, neue Algorithmen geben, neue Ideen, wie man das brechen kann oder zumindest die Sicherheit reduzieren kann, dieser Verfahren. Aber fürs Erste, aus meiner Sicht, sind das Verfahren, die man gut einsetzen kann, weil sie einfach durch einen langen Standardisierungsprozess und einen sehr offenen Standardisierungsprozess gegangen sind. Also Wissenschaftler aus allen Bereichen der Welt konnten diese Verfahren einsehen, konnten schauen, konnten Kommentare machen, konnten versuchen, diese Verfahren zu brechen. Natürlich theoretisch, also weil es heute noch keinen Quantencomputer gibt, der stark genug ist, herkömmliche Verfahren zu brechen. Vielleicht wird es da nochmal andere Verfahren geben in der Kryptoanalyse. Aber im Moment aus wissenschaftlichen Gesichtspunkten würde ich sagen, haben wir ein Verfahren, was erstmal eine sichere Transition in die Zeit ermöglicht, wo Quantencomputer stark genug werden, herkömmliche Krypto zu brechen.
SPEAKER_01Wie gehst du jetzt als CTO von Utimarco damit um? Also es ist ja an der Schnittmenge von Cutting-Edge Technology. Auch ein bisschen in die Glaskugel gucken, in welche Richtung sich das entwickeln wird. Gleichzeitig habt ihr eine bestehende Kundenlandschaft und Produktlandschaft, die ihr natürlich irgendwo befriedigen wollt, bespielen wollt. Ihr wollt ganz viel Innovation machen. Wie bewegt man sich in einem solchen Umfeld? Und dann kommt natürlich noch die Business-Seite noch mit dazu, Private Equity hat gegebenenfalls auch noch ein paar Verlautbarungen oder ein paar Erwartungshaltungen. So, wie geht man damit um in diesem Spannungsfeld?
SPEAKER_00Ganz am Anfang muss man sagen, dass wir von Anfang an gesagt haben, dass wenn Quantencomputer in der Lage sind, Kryptografie zu brechen, es alle Firmen betrifft auch in der Welt. Also es gibt, glaube ich, niemanden, der so abgenabelt ist, dass es ihn gar nicht betrifft. Und es betrifft, das heißt also, die Größe ist schon mal da, es gibt dort einen Markt. Also wenn Quantencomputer sich entwickeln und das tun sie ja derzeit und da gibt es ja mittlerweile wirklich viele Nachrichten drüber, was sich da alles so tut, wie viele Kubits man schafft, wie man Fehlerkorrektur macht und so weiter. Und dass es auch wirklich teilweise in der Cloud verfügbar gemacht wird, die ersten Quantencomputer. All das deutet dir darauf hin, da gibt es tatsächlich Fortschritte. Und das heißt also, wir adressieren erstmal einen Riesenmarkt, weil es alle betrifft. Und wir wissen, dass Kryptografie, gerade Kryptografie, sehr lange braucht, also geändert zu werden. Weil die Vergangenheit einfach gezeigt hat, dass man Verfahren, die man in der Vergangenheit benutzt hat, wenn man die ausbauen will, die aber überall verfügbar sind und die auch Interoperabilität garantieren, dass es nicht einfach ist, die eben innerhalb von einem Jahr auszubauen. Ein Beispiel, ein gutes Beispiel ist das. Wir haben das lange als Verfahren das benutzt, um Zahlungsverkehrstransaktionen abzusichern und ich würde sagen, das ist wahrscheinlich jetzt noch in gewissen Systemen im Einsatz, obwohl es schon lange nicht mehr als sicher gilt. Einfach weil durch die Kompatibilitätsthemen und so weiter Austausch von Kryptografie extrem schwierig ist. Und dann haben wir gesagt, naja, wenn wir jetzt mal den Horizont von zehn Jahren anlegen und selbst wenn es 15 Jahren am Ende sind, dann müssen die Firmen jetzt eigentlich anfangen. Und dann haben wir relativ rechtzeitig angefangen, auch noch vor der Standardisierung diese Algorithmen einzuführen, weil wir wirklich erste Kunden hatten, die auch Interesse hatten, mit uns da zu arbeiten auf dem Gebiet. Und dann hat uns natürlich auch NIST unterstützt. Irgendwann kamen die Daten raus für die Migration der wichtigen, der kritischen Prozesse bis 2030. Alle Prozesse sollen mehr oder weniger umgestellt sein auf quantumsichere Verfahren bei 2035. Das wurde dann wieder auch von der EU übernommen. Wir haben im Prinzip sind diese ganzen Organisationen dann durch das Setzen dieser Daten, haben da nochmal mit reingespielt im Positiven. Und jetzt haben wir wirklich eine Situation, wo eigentlich jede Firma die Notwendigkeit hat, sich selbst zu überprüfen und zu schauen, wo sie es einsetzen müssen. Und das ist natürlich für uns eine super Voraussetzung. Wir haben die Referenzen, wir haben die Implementierung und der Markt, ja, der ist im Prinzip eigentlich fast unlimitiert in dem Bereich.
SPEAKER_01Wie wahrscheinlich, also ja, die Gefahr von Quantencomputer, sind wir jetzt schon ein bisschen drauf eingegangen. Ich frage mich, wie groß diese reale Gefahr dann später wirklich sein wird. Also natürlich werden zuerst, wer wird zuerst Zugriff auf Quantencomputer haben, das sind Staaten, das sind große Tech-Konzerne. Danach wird es dann schrittweise gehen Richtung Forschung, Richtung Industrie. Es wird noch eine sehr lange Zeit dauern, bis normale Unternehmen, Otto-Normalverbraucher auf so etwas in dieser Form Zugriff haben wird. So zumindest mal meine These. Heißt natürlich, gibt es Rogue-Player, auch im Bereich der Staaten, vielleicht auch aber im Bereich der Tech-Konzerne, aber es wird ja nicht der kleine Script-Kiddy um die Ecke oder der Hacker aus Nigeria oder der Scammer aus Nigeria dann sein, der darauf Zugriff hat und jetzt hier Dienste expost. Schränkt das dann nicht auch den Markt ein der potenziellen Kunden, die sich für sowas interessieren, weil ein Unternehmen, das SARS-Dienste anbietet, an B2B, B2C, was auch immer, hat vielleicht gar nicht die Notwendigkeit, sich darüber aktuell Gedanken zu machen.
SPEAKER_00Ja, vielleicht zwei Antworten darauf. Also wenn es eine Technologie gibt, auch wenn die vielleicht in den Händen sind, wo vielleicht ein staatlicher Aktor andere Interessen hat und vielleicht nicht eine kleine und mittelständische ständische Firma angreift im ersten Schritt, dann bedeutet es ja trotzdem, dass meine Sicherheit eigentlich nicht mehr gewährleistet ist. Also wenn ich jetzt irgendwann mal einen Fall hätte, wo ich einen Vertrag, der digital signiert ist, anzweifle, und irgendwo jemand irgendwo auf der Welt wurde bewiesen, dass eine RSA-Technologie nicht mehr sicher ist, wie soll denn das Gericht dann entscheiden? Soll das Gericht dann sagen, ja, aber der Vertrag, der ist sicherlich sicher, weil sie hat bestimmt keiner angegriffen hat oder würde das Gericht dann sagen, naja, im Zweifelsfall gibt es natürlich auch eine Möglichkeit, dass jemand da die Unterschrift gefälscht hat beispielsweise. Oder die Identät gefälscht hat. So und da würde ich einfach sagen, erstmal, sobald es nachgewiesen ist, dass ein Quantencomputer das kann, haben wir schon die Situation, dass wir eigentlich alle agieren müssen. Das ist der eine Punkt. Der zweite Punkt ist, der Quantencomputer ist ja nicht nur alleine da, Krypto zu brechen. Dann würde es wahrscheinlich ein sehr eingeschränkter Markt sein im ersten Schritt. Aber ein Quantencomputer hat ja unglaubliche Vorzüge, was so Materialforschung angeht und was die potenzielle Heilung von Krankenkrankheiten angeht, Finden von Medikamenten und ähnlichen Sachen. Also wirklich einen wissenschaftlichen Ansatz. Und da werden Milliarden reingepumpt in den Markt, in den Aufbau von Quantencomputern. Und das wird irgendwann demokratisiert werden, so wie das Web halt auch. Das kommt vielleicht etwas später, aber es wird kommen. Und dann hat man vielleicht noch drei Jahre Zeit. Dann ist es in den Händen von bestimmten Firmen, aber irgendwann wird es als Cloud-Service verfügbar sein. Also aus meiner Sicht, je schneller dann die Entwicklungszyklen werden, desto mehr Leute werden Zugriff bekommen und desto eher wird es am Ende dann ein Risiko für alle.
SPEAKER_01Ich habe jetzt interessanterweise auch die Meinung schon gehört, dass man sich jetzt gar nicht so viel Sorgen machen muss um die Quantum, um quasi Quantentechnologie und auch das, was sie mit Kryptografie macht. Ja, sie wird Kryptografie brechen, aber im gleichen Atemzug hast du natürlich nochmal viel stärkere Rechenleistungen oder eine andere Form von Rechenleistung zur Hand, um nochmal viel sicherere Verschlüsselungen bauen zu können. So im Endeffekt, der Markt wird das alles selber regeln in diesem Moment. Was denkst du über so eine Haltung oder über so eine Aussage?
SPEAKER_00Ich glaube, dass du hier in diesem Fall schon eine gewisse Regulatorik brauchst und gewisse Deadlines. Also, dass jemand jetzt antizipiert, dass wir in zehn Jahren einen Quantencomputer haben und dann freiwillig handelt, da muss man schon gucken, dass man da schaut, dass man da Zeitlinien setzt, dass Firmen dann eben auch anfangen zu agieren und sich anzuschauen, wie ihre Krypto aufgebaut ist. Ich glaube, dass du das nicht komplett dem Markt überlassen kannst. Bis zum gewöhnten Grad natürlich schon, weil wenn es so Themen sind, die man dann auch wirklich beeinflussen kann. Hier ist ja ein sehr langfristiges Thema und auch noch ein Thema, was ein bisschen unsicher ist, kommt, dass jetzt 2030 kommt, 2032. Ich bin mir relativ sicher, dass es kommt. Die Frage ist halt, in welchem Jahr das kommt und wie will man das den Firmen überlassen, wer sich jetzt da bereit macht für 2030 und wer für 2033. Und am Ende hängt ja auch alles zusammen. Ich habe auf der RSA jetzt nochmal öfter gehört, Trust is a New Currency. Das heißt, wenn ich jetzt in diesem ganzen Setup von Cybersicherheit mal angucke, wer da eigentlich alles zusammenhängt, von der Supply Chain, wer da alles mit Tools anbietet, die dann wiederum benutzt werden im Cybersicherheitsbereich, dann ist es ja wichtig, dass alle zur gleichen Zeit auch sicher sind. Es bringt mir ja wenig, wenn ich jetzt die Hälfte meiner eigenen Prozesse angepasst habe, aber meine ganzen Zulieferer, die haben halt gesagt zu dem Thema, naja, wir dachten, wir hätten noch ein bisschen mehr Zeit. Und dann habe ich ja das Thema mir trotzdem eingefangen. Und am Ende ist es da schon wichtig, dass man sich ein gemeinsames Ziel setzt, weil es einfach alle betrifft. Es betrifft nicht nur eine bestimmte Branche, es betrifft nicht nur eine Firma, es betrifft nicht nur eine bestimmte Technologie, es betrifft viel mehr. Und ich glaube, da ist ganz ohne Regulatorik lässt sich das Thema nicht adressieren.
SPEAKER_01Wie triffst du denn dann Entscheidungen im Tagesgeschäft, welche Innovationen jetzt wirklich relevant sind und umgesetzt werden sollen, gerade in einem Umfeld mit begrenzten Gesundheit? Ich glaube, das vergisst man immer mal wieder, wenn über Innovationen geredet wird, dass die Ressourcen in Unternehmen immer noch begrenzt sind und dass sie auch nicht in freien Radikalen da ständig rumschweben und darauf warten, utilized zu werden. Also wie triffst du in diesem Kosmos Entscheidungen darüber, welche Innovationen von auch in diesen Bereichen, die wir jetzt besprochen haben, wirkliche Relevanz haben und angegangen werden sollen?
SPEAKER_00Also aus meiner Sicht ist das Wichtigste, zu schauen und sich zu überlegen, wie kann das Ganze skalieren. Wie viele Leute betrifft es am Ende? Ich habe also oftmals Technologien gesehen, die sind super spannend als Technologie. Nehmen wir mal als Beispiel homomorphe Verschlüsselung. Das ist total spannend. Da kann man auf verschlüsselten Daten arbeiten und keiner sieht diese Daten, kriegt aber trotzdem die Antworten, die er haben möchte aus einem Datensatz. Ist aber etwas, was man heute kommerziell sehr, sehr, sehr schwer realisieren kann, also wo die Skalierung heute zumindest nicht so gegeben ist, wie zum Beispiel in anderen Bereichen, wie jetzt Post-Quantum-Kryptografie als ein Beispiel oder auch im AI-Bereich. Und das ist aber eines der wichtigsten Kriterien für mich, wo ich sage, man muss halt gucken, wie kann das später mal skalieren. Und wie wächst die Kundenbasis hinten dran? Und dann ist es natürlich auch so, zu gucken, wie passt es zu der Firma selber. Also wie passt es dazu, was wir, sagen wir mal, anbieten, zum Beispiel als Utimarco. Für uns ist das dann Teil dieser, was ich ja vorhin gesagt habe, Root of Trust, dieser Vertrauensbasis, die wir schaffen für alle digitalen Services. Da passt dieses Thema hervorragend rein. Und es hat die richtige Marktbreite. Also das sind so die wichtigen Entscheidungskriterien. Und dann gibt es natürlich so ein bisschen zu beurteilen, was ist kurzfristig davon und was ist langfristig. Also gerade im PE-Kontext ist es auch immer wichtig, dass man kurzfristig einen Proofpoint hat. Vielleicht den ersten Kunden, vielleicht den ersten Umsatz, den ersten guten Use Case dafür. Dass es dann auch, dass man auch sieht, das kann kurzfristig auch beitragen zum Wachstum und zum Erfolg. Und dann natürlich der langfristige Aspekt. Wie kann ich mich da rechtzeitig positionieren?
SPEAKER_01Wie, also die Frage geht jetzt in die Richtung deiner Interpretation der CTO-Rolle. Ich erlebe ganz viele CTOs, die sind von der reinen Technologie oder von der Implementierung sind sie sehr weit weg. Gerade in größeren Unternehmen, die vielleicht schon Enterprise-Charakter haben, dann geht es viel über Politik, es geht viel über Organisationsdesign. Natürlich hat man irgendwo vielleicht noch einen Technologie-Background und versteht das. Du bist jetzt aber in einem Bereich unterwegs, der eine viel tiefere technische und fachliche Expertise benötigt. Nimmst du das auch so wahr? Und nimmst du das auch so wahr, dass gar nicht so viele deinen Job eigentlich machen könnten, weil sie gar nicht diese Expertise haben? Oder ist es sogar vielleicht so, dass es so, ja, vielleicht bräuchte es gar nicht diese ganze In-Depth-Expertise, sondern auch ein normaler CTO könnte ein Unternehmen wie Utimarco anführen.
SPEAKER_00Wie siehst du das? Also ich glaube, über die Zeit hat es sich so ein bisschen entwickelt, die Rolle des CTOs. Also es war früher sehr viel techniklastiger, sehr viel stärker, dass man da schlimmer involviert ist. Da wurden dann viele Business-Aspekte kamen mit dazu über die Zeit und ich glaube, das nächste, was wichtig ist für die CTO-Rolle, ist eigentlich das Time-to-Market zu adressieren. Weil diese Beschleunigung, die wir derzeit erleben, also auch was AI beiträgt, das ist etwas, was wir aus CTO-Sicht managen können müssen nach vorne raus. Also wenn eine AI Software schreiben kann, Businessmodelle kopieren kann in wirklich Stunden und ich nicht von Wochen oder Monaten, die man eigentlich für sowas gebraucht hat in der Vergangenheit. Ich glaube, das ist die neue Herausforderung vom CTO. Nochmal zurück auf die Frage, so ein bisschen stärker, wie viel Technik braucht man noch. Also ich glaube, es ist schon gut zu verstehen, was hinter der Technik steckt, damit man sieht, wie diese Technik skalieren kann, wo man selber reinpasst als Firma und wo man dann am Ende auch den Markt bedient und wo die Kundenthemen, die Kundenprobleme sind, die man lösen möchte. Ich glaube, das ist weiterhin wichtig und das ist wahrscheinlich auch wichtig für fast alle CTOs. Aber was ich natürlich sagen muss, ist, man muss natürlich das nicht alles selber wissen. Man hat natürlich auch Kollegen, mit denen man arbeitet und die einem auch mal das Detail erklären können. Wichtig ist, dass man die Zusammenhänge versteht. Dass man einfach sieht, wie zum Beispiel jetzt langsam das Thema AI und Postquantum-Computing und post-Quantum-Kryptografie irgendwie zusammenhängen. AI generiert unglaublich viele Mengen an Daten. Was mache ich denn, wenn ich so ein Modell schützen will? Was mache ich denn, wenn ich die Trainingsdaten schützen will? Das Ganze muss ja auch postquantum abgesichert werden. Solche Zusammenhänge zu verstehen, um dann zu gucken, was entsteht da draus. Was brauchen die Kunden dort eine Unterstützung in ihrem Geschäft? Das ist das Wichtigste, glaube ich, was ein CTO heute erkönnen muss. Aber es ist nicht unwichtig, auch zu verstehen, was hinter den Technologien steckt, eben um auch mal zu entlarven, wo eben nur das Buzzwirt verwendet wird, was wir vorher besprochen haben.
SPEAKER_01Du hast jetzt eben auch nochmal in der Frage davor, hattest du nochmal das Thema Private Equity aufgegriffen. In einem solchen Unternehmen, was Private Equity geführt ist, wie verändert das die Rolle des CTO oder wird sie dadurch gar nicht verändert?
SPEAKER_00Also sie sollte. Also ich denke, sie wird auf jeden Fall durch einen PE, der natürlich Wachstum sehr stark in den Vordergrund stellt. Das ist natürlich ein wichtiger Punkt und natürlich hat das einen Einfluss auch auf die Rolle des CTOs. Es sollte aber irgendwie auch in jedem Unternehmen so sein eigentlich. Also auch in Unternehmen, die vielleicht nicht PE geführt sind, denn Wachstum spielt einfach eine entscheidende Rolle. Und weiterzumachen, mit neuen Ideen, ein neues Geschäft zu generieren, das sollte eigentlich im Interesse jeder Firma sein. Technologie spielt eine immer größere Rolle in der heutigen Zeit. Und deswegen würde ich jetzt sagen, so unterschiedlich sollte es gar nicht sein. Aber natürlich hat ein PE ein klares Interesse, Wachstum. Und diesen Wachstum, den kann man natürlich gut unterstützen mit Technologien, wenn man rechtzeitig am Markt ist, wenn man die neuen Trends entdeckt, wenn man sieht, was skaliert, was zu einem passt, was man umsetzen kann, wo man vielleicht auch einen effizienten Weg findet, vielleicht auch mit Partnern einen Weg findet, gemeinschaftlich in den Markt zu gehen. Das sind, glaube ich, so wichtige Aspekte, die der PE natürlich mit reinbringt. Aber aus meiner Sicht sollte das in einer nicht PE geführten Firma genau das gleiche sein, weil es eben darum geht, zu schauen, dass man mit der Firma wächst und sich eben auch neue Gebiete erschließt.
SPEAKER_01Ja, vielleicht kann man das ja so formulieren, dass ein Private Equity geführtes Unternehmen eine aggressivere Wachstumserwartung hat, die auch noch, die ja dann von Private Equity getrieben wird. So, das würde ich zumindest mal so die Unterscheidung machen. Weil grundsätzlich hast du ja recht, alle Unternehmen haben wahrscheinlich einen Wachstumsanspruch und treiben den voran, weil Private Equity, ja, die sitzen ja nicht direkt im Unternehmen, die sitzen so ein bisschen außenrum, obendrauf, aber massieren die Erwartungshaltung da noch mit ein.
SPEAKER_00Die, also was ich noch dazu sagen wollte, also wenn man das jetzt zum Beispiel so vergleicht mit einem zum Beispiel familiengeführten Unternehmen, da ist vielleicht, hat man mehr Möglichkeiten, etwas langfristiger zu denken, vielleicht über bestimmte Grenzen hinaus. Aber das, ich sag mal so, das ist auch nicht unbedingt so gegeben, weil jede Unternehmung natürlich auch. Auch Umsatzziele hat. Und zwar konkrete und kurzfristige Umsatzziele. Und die gehen es zu erreichen. Das heißt, man hat auch als CTO so ein gewisses Spagat zu machen. Man muss schon schauen, was man als CTO beeinflussen kann, um tatsächlich das Geschäft abzusichern, das Geschäft, was man heute macht, und dann gleichzeitig den Grundstein zu legen für das Geschäft morgen. Also das ist so ein bisschen, muss man beide Sachen betrachten. Und der PE braucht beides. Der PE braucht den Erfolg jetzt und in der Zukunft.
SPEAKER_01Ja, welchen Einfluss hat das denn auf Innovationsmanagement in den Unternehmen? Vielleicht auch bei euch. Ich meine, die Erwartungshaltung ist immer groß. Es soll Innovationen geben. Und die Erwartung, ja, ich mache mal jetzt ein Innovationsprojekt und damit mache ich jetzt im ersten Quartal 10 Millionen und im zweiten Quartal dann gleich 100 Millionen. Das ist ja nicht die Realität. In der Realität hast du eine ganze Menge an Innovationsbalance, die du fliegen lässt. Die 99 Prozent oder vielleicht nicht ganz so viele, aber neun von zehn gehen mit Sicherheit den Bach runter und eins davon fängt dann an zu fliegen. So, das ist natürlich in der Schnittmenge von, ja, wir wollen aber Umsatz und Wachstum jetzt ist das ja ein Widerspruch zu, wir bauen jetzt potenzielle Moonshots für die Zukunft. Wie navigierst du das?
SPEAKER_00Ich glaube, es ist auch nicht, also natürlich gibt es immer Themen, die vielleicht nicht so abheben, wie man das, wie man das denkt. Aber es heißt ja nicht, dass diese Themen ein kompletter Fehlschlag sind. Man nutzt das natürlich trotzdem für Marketing, man positioniert sich und es hat natürlich auch damit zu tun, wie viel Innovation man treibt an Firma, wie man zum Beispiel die Valuation dann am Ende hinbekommt, auch in so einem Verkaufsprozess. Also deswegen würde ich, bin ich da gar nicht so, so, würde ich sagen, dogmatisch würde ich mal sagen, zu sagen, ja, die Sachen, die da fehlgeschlagen sind, die haben vielleicht nicht beigetragen zum Erfolg. Die tragen durchaus auch bei zum Erfolg. Natürlich sind es die ein paar muntig.
SPEAKER_01Haben sie keinen Umsatz gemacht, ne? Und haben erstmal nur Geld versenkt.
SPEAKER_00Hat man vielleicht Geld versenkt, hat aber vielleicht einen Grundstein gelegt, hat vielleicht geschaut, dass man danach in den richtigen Weg einbiegt, hat vielleicht aber auch ein bisschen gezeigt, dass man in der Lage ist, eben verschiedenste MVPs und neue Themen auch in der Firma gleichzeitig zu entwickeln. Das ist ja eine wichtige Eigenschaft. Wenn man das nicht hat und nicht kann, dann bleibt man zurück. Gratis Time to Market, was ich ja vorhin erwähnt habe, das ist halt immer wichtiger. Und das heißt, man muss immer schneller werden, auch zu verproben, ob diese Innovationen passen.
SPEAKER_01Wann ist denn dann ein Tech-Projekt für dich ein Erfolg und wann nicht? Also scheitern muss erlaubt sein, das ist, glaube ich, auch, ist uns allen klar, wenn es um Innovationsmanagement geht, ansonsten braucht man das gar nicht erst anpacken. Und ja, man lernt auch aus den Fehlern, aber wann ist ein Tech-Projekt dann ein Erfolg und wann kannst du ganz klar sagen, nee, das war nichts.
SPEAKER_00Also, ein Tech-Projekt ist ein Erfolg, wenn es Umsatz bringt und substanziell zum Firmenerfolg, zum Wachstum beiträgt, aus meiner Sicht. Und das passiert dann, wenn man das überphasen kann, in die normale Organisation. Es wird ein Produkt, es wird eine Lösung, es wird ein Service für den Kunden. Das ist auf jeden Fall eins der wichtigsten Erfolgskriterien.
SPEAKER_01Widerspruch zu dem, was du vorher gesagt hast, weil du hast ja gesagt, naja, es ist ja, auch wenn mein Projekt fehlschlägt, ist es ja nicht gerade ein Misserfolg, wenn man daraus die richtigen Ableitungen oder die richtigen Kenntnisse hat für die Zukunft. Deswegen war ja die Folgefrage auch, wann ist es denn dann ein Nichterfolg, wenn das reine Scheitern eines Innovationsprojekts, was jetzt keinen Umsatz bringt, noch keinen Misserfolg automatisch definiert?
SPEAKER_00Ich glaube, der Unterschied für mich war so ein bisschen diese Idee des Mool-Shots. Also, wie trage ich wirklich zum Wachstum und zu der großen Firmenentwicklung bei. Das ist das, wo ich sage, da hast du natürlich einen anderen Erfolgscharakter. Das ist natürlich das Projekt, was du immer als Aushängeschild nimmst. Post-Quantum-Kryptografie in unserem Fall. Rechtzeitig angefangen, großer Markt adressiert, sehr schnell gewonnen. Also das sind so die Erfolgsstorys natürlich, die wichtig sind, weil sie wirklich zum Geschäft beitragen. Aber trotzdem, sich mit Technologien zu beschäftigen, die vielleicht dann für einen nicht so relevant sind. Nehmen wir homomorphe Verschlüsselung als ein Beispiel, weil ich es vorhin erwähnt habe. Man darf sowas eben nicht vernachlässigen. Was wäre denn, wenn diese Technologie nur einfach später kommt? Und vielleicht einfach noch, das war noch nicht die richtige Zeit. Vielleicht haben wir in zehn Jahren die richtigen Computerinfrastrukturen, dass homomorp Verschlüsselung auf einmal funktioniert und dann haben wir einen großen Markt. Also da würde ich jetzt nicht sagen, dass, wenn man sich damit beschäftigt, schaut, wie man das abbilden kann und irgendwann rausfindet, dass es jetzt nicht funktioniert und dass das kein Geschäft für einen ist, was genügend groß wächst, dann kann man das einstellen, aber es ist nicht unbedingt ein Misserfolg. Es kann halt später mal zu einem Erfolg führen. Ich geb dir mal ein Beispiel aus meiner Vergangenheit. Wir haben vor ganz, ganz vielen Jahren, das war noch vor Rutimarco, haben wir mal eine Maschine für uns selber designt. Die haben wir wirklich produziert und die haben auch wirklich Karten ausgespuckt, Kreditkarten, richtige, echte Kreditkarten mit Cheppersonalisierung und allem drum und dran, Bilddruck drauf. Da haben wir richtig, richtig gute Sachen gemacht. Richtig, wie so ein, musst du dir auch vorstellen, wie so ein Geldausgabeautomat. So hat das Ding funktioniert. So, und das haben wir aber zu einer Zeit auf den Markt gebracht, wo viele Leute Interesse daran hatten, aber es kam nie so richtig zum Projekt. Dann haben wir gesagt, okay, das ist vielleicht nicht interessant genug, jetzt zu kommerzialisieren, weil das Kommerzialisieren von so einer Technologie, das kostet natürlich Geld, da ist viel Maschine dahinter, da ist viel Technologie dahinter, Service-Netzwerk und so weiter. Und dann haben wir das erstmal geparkt, das Thema, aber wir haben erstens relativ viel gelernt dadurch, also auch was so Personalisierung angeht, in Echtzeit und so. Aber jetzt heute zum Beispiel, es war echt lustig zu sehen, steht so eine Maschine für die Ausgabe von solchen Karten am Münchner Flughafen. Und das ist dann manchmal einfach so, dass ich vielleicht auch nicht die richtige Zeit erwischt habe. Also deswegen ist es immer so schwer zu sagen, was ist denn da wirklich ein Misserfolg bei solchen Projekten. Es kann sein, dass es nicht ein Erfolg ist im Sinne von, ich schaffe direkt ein Firmenwachstum oder ich schaffe direkt einen Umsatzbeitrag, aber es kann sein, dass ich eine Grundlage lege, die mir in der Zukunft ein Riesenwachstum beschert. Also deswegen bin ich da so vorsichtig zu sagen, was ist Erfolg und was ist Misserfolg. Wir können uns natürlich darauf einigen, dass so ein Moonshot, so ein Tenttime-Thema natürlich immer was mit Umsatz zu tun hat. Das ist klar. Umsatz und Wachstum sind die Kernaspekte.
SPEAKER_01Ja, absolut. Und trotz allem ist es keine Garantie dafür, nur weil man jetzt ein bisschen Zeit in eine neue Technologie gesteckt hat oder in etwas, von dem man gedacht hatte, es würde funktionieren und man ist dem Markt voraus, dass man dann später wirklich davon noch profitieren kann. Also mir ist dann, während du erzählt hast, völlig verrücktes Beispiel noch eingefallen, das Thema Second Life war vor 20 Jahren mal ein großer Hype. Alle dachten, das ist the next big thing. Hat ungefähr ein paar Wochen gehalten, dann ist das Thema den Bach runtergegangen. Ich glaube, dass, ich weiß nicht, ob das Unternehmen überhaupt noch existiert, dass das Second Life gemacht hat, ob sie davon irgendwann profitieren werden, dass sie in die ersten an dem Markt waren, wo der Markt noch nicht so weit ist. 20 Jahre später übrigens warten wir immer noch auf sowas wie Second Life, das wirklich funktioniert. Genau, das wäre ja so ein Gegenbeispiel zu dem, was du gesagt hast. Aber natürlich hast du prinzipiell recht, das kann sich natürlich auszahlen. Es gibt aber auch keine Garantie, dass es sich dann irgendwann auszahlt. Das ist natürlich auch der andere Teil der Wahrheit.
SPEAKER_00Absolut, aber man muss ja auch überlegen, das Gleiche hat man ja auch für sein ganz normales Produktportfolio. Wenn ich das nicht in die geeigneter Weise weiterentwickle und da Innovationen betreibe, die richtigen Features unterstütze, dann wird das vielleicht irgendwann obsolet oder wird nicht mehr interessant genug für ein Endkunden sein. Also im Prinzip geht das in die gleiche Richtung. Man muss schon die richtigen Entscheidungen treffen und muss halt immer wieder messen, funktioniert es oder funktioniert es nicht. Und dann eben auch, sich zu überlegen, wenn etwas nicht funktioniert, wie kann ich korrigieren? Wie kann ich mich dann auch von einem Thema verabschieden, ohne dass ich große Tränen vergieße und sage, das war aber so ein schönes Thema, da würde ich jetzt gerne noch ein bisschen weitermachen und vielleicht kriegen wir das doch noch hin. Sondern dann auch die Entscheidung zu treffen, ganz klar, wir machen das Thema nicht mehr. Wir machen ein anderes Thema, weil es sieht nicht so aus, als würden wir es skalieren können, wie wir es brauchen, um das erfolgreich zu machen.
SPEAKER_01Was treibt dich denn an, so ganz persönlich, dich mit so komplexen Themen wie Security, wie Kryptografie auseinanderzusetzen, unabhängig von deiner Rolle als CTO bei Utimarco? Also ich spüre zumindest, da ist ein tiefergehendes Verständnis dafür da. Das nimmt man sich nur so, nicht nur so nebenbei mit, weil man jetzt gerade der CTO von einem Technologieunternehmen ist, das sich damit beschäftigt.
SPEAKER_00Es sind so Technologien, die halt überall eine Rolle spielen. Das ist eigentlich das, was mich immer so ein bisschen getrieben hat. Also welchen Impact haben die Lösungen, die wir kreieren für den Markt? Und wenn man sie, wie ich ja vorhin gesagt habe, wegdenken würde, dann würden bestimmte Dinge nicht mehr funktionieren, die kritisch sind heute, die man braucht. Und daher spielt Kryptografie halt überall eine Rolle. Der Schutz von Daten, das ist eine der fundamentalen Sachen. Und wenn ich mir jetzt überlege, ich hatte gerade nochmal ganz interessanten Vortrag auf der RSA gehört, es gibt ja auch verschiedene Aspekte, die da eine Rolle spielen. Also ich habe Integratätsschutz, ich habe Vertraulichkeit und ich habe Verfügbarkeit. Und eigentlich hängt das alles zusammen. Meistens redet man nur über Vertraulichkeit und Verfügbarkeit, aber wenn die Integrität beispielsweise nicht sichergestellt ist der Daten, habe ich dann wirklich noch Verfügbarkeit oder habe ich dann wirklich noch den Aspekt der Vertraulichkeit, macht der dann überhaupt noch Sinn, wenn die Daten vielleicht in aller Weise gar nicht mehr in der Integrität geschützt waren. So, und wenn ich mir das angucke, wie ich sowas mache heute, dann spielt Kryptografie da überall eine Rolle. Und das ist das, was mich an dem Thema begeistert. Aber es ist nur ein Teil von Cybersicherheit. Es gibt auch noch durchaus andere Themen. Dieses ganze Thema Identitäten, Secrets Management, das wird nochmal ganz groß werden aus meiner Sicht, weil es einfach unglaublich viele Agenten geben wird. Statistiken sagen so um und bei 80 Mal so viele, wie wir heute Identitäten haben für Maschinen und für Menschen. Und wenn ich mir das angucke, dann muss ja jede dieser Identitäten eine Berechtigung haben, muss vielleicht auch eine temporäre Berechtigung haben und das ganze Management dahinter, das wird für mich im AI-Bereich aus meiner Sicht noch ein Riesenthema werden. Wie mache ich das? Wie schaffe ich das, mit den Agenten zu befähigen, zu berechtigen, aber auch zu kontrollieren, wenn sie Zugriffe machen, wenn sie Entscheidungen für mich treffen? Das ist so ein bisschen das Thema, wo ich einfach sage, es macht einfach Spaß, sich damit zu beschäftigen und zu überlegen, was das für eine Auswirkungen haben kann.
SPEAKER_01Ja, und wenn wir ehrlich sind, wie viele CTOs verstehen denn wirklich die Technologien, über die sie sprechen? Gerade wenn wir über die Themen AI und Security sehen. Fragezeichen.
SPEAKER_00Ja, am Ende des Tages musst du ja nicht alles verstehen. Also, um einfach nochmal zu sagen, es ist wichtig, dass du die Basis verstehst, wie funktioniert die Technologie dahinter. Ob du jetzt einen RSA irgendwie berechnen kannst oder programmieren kannst, das ist sicherlich nicht entscheidend für ein CTO. Aber wichtig ist zu verstehen, was macht die Technologien unterschiedlich, den einen Algorithmus vom anderen Algorithmus. Was ist die Kundenpräferenz und warum? Also hash-basierte Algorithmen gelten heute als potenziell sicherer als latticebasierte Algorithmen, also weil es einfach schon länger diese Algorithmen gibt, weil sie schon länger erforscht werden. Also solche Dinge zu verstehen, ist wichtig, damit man den Kunden vernünftig bedienen kann. Aber dafür muss man nicht jedes kleine Detail verstehen, wie diese Algorithmen funktionieren beispielsweise. Und deswegen glaube ich auch, ein CTO hat ja normalerweise auch ein wirklich gutes Team um sich rum, um dann eben solche Sachen auch mal im Detail zu diskutieren. Aber wichtig für ein CTO ist immer auf ein Level zu gehen, zu schauen, wie ist der Impact dieser Technologie in den nächsten einen Jahren, zwei Jahren, fünf Jahren und was kann ich da für die Firma draus bauen.
SPEAKER_01Und wenn du heute nochmal neu starten würdest als CTO, was würdest du konkret anders machen?
SPEAKER_00Das ist eine gute Frage. Was würde ich konkret anders machen? Also ich glaube, den Fokus, wie ich die Kommunikation auf was Technologie angeht, aufsetzen würde, ich glaube, das wäre etwas, da hätte ich am Anfang meiner Karriere schon durchaus ein paar Dinge anders gemacht. Einfach die Information, auch was Technologie ausmacht, noch anders aufbereitet, auch was so zum Beispiel Diskussionen mit dem Board und den Scheitern angeht. Da habe ich doch auch schon viel an der Art der Kommunikation geändert, weil es einfach wichtig ist, Technologie nicht nur als Technologie darzustellen und zu erklären, wie sie funktioniert, sondern vielmehr darin zu verankern, was wird man damit erreichen, was ist das Problem der Kunden, was kann ich damit lösen, was kann diese Technologie machen, wie kann diese Technologie wachsen. Ich glaube, das ist der wichtige Punkt. Und diese Art der Kommunikation zu schaffen, dass man eben über Technologie spricht, aber über das, was sie aus geschäftlicher Sicht eigentlich erreicht, das ist, glaube ich, eine Sache, die hätte ich schon früher einführen können. Das ist etwas, das ich jetzt natürlich mache, aber wie gesagt, das ist etwas, was wichtig ist, damit Technologie auch Verständnis kreiert.
SPEAKER_01Ja, sehr gut. Und als letzte Frage für heute, bevor wir zu dem Rapid-Fire-Fragen teilkommen. Du erkennst ja, du hast ja bestimmt auch ambitionierte Engineers in der Company. Vielleicht ist sogar der eine oder andere mal zu dir gekommen und hat sich gefragt, dass er auch CTO werden will. Welchen Rat würdest du denen geben, diejenigen, die CTO werden wollen, aber noch nicht wissen, wie sie den nächsten Schritt machen oder den ersten Schritt machen?
SPEAKER_00Ich glaube, ein Rat bringt gar nicht so unbedingt so viel. Ich glaube, wenn jemand wirklich das Potenzial und Interesse daran hat, dann muss man ihn in eine Rolle bringen, wo er sich darauf wirklich hinentwickeln kann. Das heißt, sie oder ihn in eine Rolle versetzen, ein Team zu führen, ein bestimmtes Projekt mit Sichtbarkeit zu managen und dann eben auch die Möglichkeit zu haben, sich auszutauschen mit dem Executive Management.
SPEAKER_01Siehst du das als die Aufgabe, dass man ihn in die Rolle bringen muss, dass er das tut? Weil ich habe, ich habe tatsächlich, wenn ich diese Frage gestellt bekomme, ich sage immer, schnapp dir Verantwortung. Such dir irgendein Projekt, was irgendwo keiner anfassen will, irgendein Thema, wo, keine Ahnung, geh zu deinem Chef, der hat bestimmt tausend Sachen, die auf seinem Schreibtisch liegen, die er nicht abgeben, oder die ihr froh wäre, abgeben zu können, aber es kommt keiner. Fragt nach genau den Dingen und nimm dir Verantwortung und mach einfach so. Also es ist ja dann weniger deine Verantwortung als CTO, dann zu gucken, wie kannst du den in eine Rolle bringen, sondern es ist dann so, es ist ja deine Verantwortung als ambitionierter Engenieer, dir so viel Verantwortung zu ziehen und daran zu wachsen und zwar mehr als nur das, was du in deinem Job eigentlich machen solltest.
SPEAKER_00Ich glaube, also wovon ich ausgegangen bin, ist, dass die Person ja gerade auf mich zugekommen ist. Also sich sozusagen gesagt hat, Mensch, ich hätte Lust dazu, ich würde mich gerne in die Richtung entwickeln. Und ich gehe dafür offen aus, dass die Person Ideen hat, wie sie das tut. Also und deswegen nur so ein bisschen die Türen zu öffnen und zu sagen, hör mal auf, natürlich liegt es an der Person selber, da hast du vollkommen recht. Also da jetzt einfach nur den roten Teppich auszurollen, das ist nicht die Lösung des Themas. Aber wenn jemand auf mich zukommt und sagt, folgende stelle ich mir vor, ich würde mich dir gerne hin entwickeln, was wäre denn so dein Ratschlag, dann würde ich sagen, der Ratschlag ist doch eher, zeig, wie du das kannst. Versuch dir die Erfahrung auch zu holen. Und die Erfahrung sammelst du vor allem natürlich in der C-Level-Kommunikation. Wie stelle ich Themen dar? Und um das erstmal zu erreichen, also die Sichtbarkeit zu finden, da kann man natürlich Türen öffnen. Und kann man auch sagen: Mensch, da gibt es jemanden, der hat ein gutes Thema, der das super aufbereitet. Jetzt kann die Person das auch selber vorstellen. Da kriegt er einfach mehr Sichtbarkeit und mehr Feedback auch direkt. Das heißt ja nicht, dass die Person dann auch morgen CTO wird, aber einfach um so ein bisschen die Möglichkeit zu bieten, da auch Sichtbarkeit zu bekommen und sich auch selber an Sachen auszuprobieren.
SPEAKER_01Sehr gut. Wie es so schön Tradition ist, schon seit geraumer Zeit hier im Podcast, beenden wir das immer mit einer Runde von Rapid-Fire-Fragen, kurze, knackige Fragen und hoffentlich genauso knackige Antworten. Hast du Lust, hast du noch ein paar Minuten, bevor wir uns verabschieden? Sehr schön. Dann, was ist denn die größte oder biggest Misconception über Security?
SPEAKER_00Ich glaube, das ist die Annahme, dass man selber sich vor allem an Einbruchs versuchen und schützen kann. Ich glaube, man muss sich vorbereiten, darauf auch einen Einbruch zu haben oder ein Incident zu haben. Und dann ist der Plan, wie man da wieder rauskommt, mindestens so wichtig wie der Schutz dagegen.
SPEAKER_01Also eigentlich dann, es gibt keine hundertprozentige Sicherheit, so das ist dann die. Ja. Okay. Dann Build versus Buy versus Partner. Was ist so deine Default-Entscheidung oder gibt es da keine?
SPEAKER_00Wenn strategisch, Bild. Wenn nicht strategisches Thema, dann ist Partnering und Buy. Sehr gut.
SPEAKER_01Ich sehe übrigens gerade eine ganze Menge Startups, die anfangen, die nochmal sehr viel mehr selber bauen, als sie das vielleicht noch vor fünf, sechs Jahren gemacht haben. Die jetzt auch anfangen, ihr eigenes CRM zu bauen und so, anstatt auf die Großen zurückzugreifen, weil es so verdammt einfach ist, mit den heutigen Tools genau das zu tun. Das aber nur nebenbei. AI, Chance oder Risiko?
SPEAKER_00Chance. Sehr gut. Also einfach vielleicht, um das so zu erweitern. AI ist einfach da. Also AI können wir nicht mehr wegdenken. Deswegen begreife ich das absolut als Chance. Also mit allen Risiken, die da vielleicht mit einhergehen, aber in erster Linie ist erstmal eine Chance für uns, AI wirklich nutzen, nützlich zu machen. Sehr gut.
SPEAKER_01Und eine Sache, die CTOs aufhören sollten zu tun. Nicht mehr der Bottleneck zu sein. Sind sie das, in deiner Erfahrung nach meistens? Weil so sind sie es. Und eine Sache, die CTOs unbedingt tun sollten oder erstarten sollten zu tun?
SPEAKER_00Möglichst viel über Teamgrenzen auch hinweg die Leute zusammenzubringen und zu schauen, dass man darüber eine Lösungen kreiert und ein Augenmerk drauf legen, Time to Market. Time to Market wird aus meiner Sicht mit der ganzen AI-Entwicklung eine der wichtigsten Herausforderungen für den CTO.
SPEAKER_01Nils, vielen lieben Dank. War mir ein Fest, heute mit dir zusammenzusitzen und hier über sehr wichtige Themen zu sprechen. Themen, die definitiv nicht zu meiner Kernexpertise gehören, aber deswegen habe ich dich auch mit hier reingebracht und du hast es, glaube ich, sehr gut Antworten gegeben auf die nicht immer ganz so guten Fragen. Von daher vielen lieben Dank schon mal dafür. Und genau, vielleicht werden wir sehr viel schneller eingeholt mit dem Thema Quantum Cryptography. Ich stolper heute noch hundertmal über das Wort. Und dann laden wir dich wieder ein und dann kannst du uns helfen, das nochmal besser einzuordnen und zu verstehen. Nils, vielen lieben Dank.
SPEAKER_00Vielen Dank dir, Philipp. Wir werden das Thema auf jeden Fall noch erleben. Also du kannst die Folge schon schon mal planen in ein paar Jahren.
SPEAKER_01Das machen wir, das machen wir. Sehr schön. Mach's gut. Ciao, ciao. Danke dir. Tschüss.
