Cybersicherheitzum Hoeren

Warum kluge Menschen auf Phishing reinfallen

Die Psychologie hinter Scam und Social Engineering

In dieser Episode spricht Alex mit Jill Wick, Wirtschaftspsychologin (FH) aus Zürich und Expertin für Security Awareness. Jill bringt 14 Jahre Erfahrung aus der Betrugsanalyse in der Kreditkartenwelt mit und erklärt, warum Menschen trotz Wissen und Erfahrung immer wieder auf Phishing, Scam und Social Engineering hereinfallen. Im Fokus steht die Psychologie hinter Betrugsangriffen: Unser Gehirn arbeitet häufig im Autopilot-Modus, besonders unter Stress, bei Multitasking oder in Momenten geringer Aufmerksamkeit. Genau das nutzen Angreifer systematisch aus. Jill ordnet die wichtigsten Manipulationsprinzipien ein, darunter Knappheit und Dringlichkeit, Reziprozität (Gegenseitigkeit), Sympathie und Spiegeln, Autorität (z. B. CEO-Scam), Social Proof sowie Commitment-Techniken wie „Foot-in-the-Door“. Gemeinsam diskutieren Jill und Alex, warum klassische „Schulungen“ allein keine Null-Fehler-Rate erzeugen können und weshalb Security Awareness als Teil eines ganzheitlichen Ansatzes gedacht werden muss: mit Technologie, klaren Prozessen, Meldewegen (z. B. Phishing-Button), Governance und messbaren Kennzahlen. Außerdem geht es um aktuelle Entwicklungen wie KI-gestützte Betrugsmaschen, gehackte Mailboxen für Ketten-Phishing und Angriffe über Briefe, QR-Codes oder scheinbar legitime Apps. Eine Episode für alle, die verstehen wollen, wie Social Engineering wirklich funktioniert und welche praktischen Stellhebel Unternehmen nutzen können, um das Risiko nachhaltig zu senken.

OT-Security ohne Stillstand

Die fünf größten Hebel für OT-Security im Werk

Praxisfolge für Werk- und OT-Verantwortliche: Alex spricht mit OT-Experte Fatmir Sinani über echte Angriffe, alte Systeme, Air-Gap-Mythen und sichere Remote-Zugänge. Fokus auf Wirkung statt Theorie: Segmentierung, Asset- und Kommunikationssichtbarkeit, passives OT-Monitoring, Patch-/Backup-Strategie und Jump-Host-Zugriffe. Klare Prioritäten. Sofort umsetzbar.

Studie vs. Realität: So funktioniert Security Awareness wirklich

Mit Marcus Beyer, Security Awareness Officer bei Swisscom, über Wirksamkeit und Grenzen von Awareness-Trainings

Alex spricht mit Marcus Beyer, Security Awareness Officer bei Swisscom, über Wirksamkeit und Grenzen von Awareness-Trainings. Marcus erklärt, wie Swisscom mit Gamification, Learning Nuggets und zielgruppenspezifischen Simulationen eine nachhaltige Sicherheitskultur etabliert. Gemeinsam diskutieren sie die Schwächen einer aktueller Studien, die Bedeutung von Fehlerkultur und die Rolle von Motivation. Fazit: Sicherheit braucht mehr als die „Human Firewall“ aber sie kann viel bewirken.

Storytelling für CISOs und Security-Teams

Cybersecurity zum Mitfühlen: Wie Storytelling Verhalten verändert

In dieser Podcast-Folge sprechen Alex und Milena darüber, wie Storytelling in der Cybersecurity hilft, komplexe Inhalte verständlich zu machen und Verhaltensänderungen zu fördern. Sie zeigen anhand praktischer Beispiele, warum KPIs ohne Kontext oft wirkungslos bleiben und wie zielgruppenorientierte Geschichten Sicherheit greifbar machen – für den Vorstand genauso wie für HR oder Mitarbeitende. Es geht nicht um Dramatik, sondern um Empathie, Timing und Relevanz. Storytelling wird als Schlüssel präsentiert, um Sicherheit im Unternehmen verständlich und wirksam zu vermitteln.

Startups im Fadenkreuz

Die größten Irrtümer über Sicherheit in der Anfangsphase

Zwei erfahrene Cybersecurity-Spezialisten im Gespräch: Alex, Gründer eines Security-Startups, und Saskia, Beraterin und Auditorin, sprechen über die unterschätzten Risiken in jungen Unternehmen. Warum geraten gerade Startups ins Visier? Welche typischen Fehler kosten später richtig Geld? Und wie lässt sich Sicherheit sinnvoll von Anfang an integrieren – ohne das Wachstum auszubremsen? Klar, praxisnah und mit vielen Beispielen aus dem echten Beratungsalltag.

Die Stimme lügt nie – Kommunikation als Schlüssel zur Cybersicherheit

Was CISOs wissen sollten, um mit Stimme Vertrauen zu schaffen und komplexe Risiken wirksam zu vermitteln

Wie überzeugend klingt Ihre Stimme, wenn es wirklich zählt? In dieser Folge trifft Technik auf Wirkung. Alex spricht mit Mandy, Profi in der Stimmarbeit mit über 20 Jahren Erfahrung im Fernsehen, darüber, warum die Stimme ein oft unterschätztes Werkzeug in der Cybersicherheit ist. Sie erfahren, wie Stimme Vertrauen schafft, wie Haltung und Atmung die Wirkung stärken und warum Inhalte ohne klare Präsenz nicht überzeugen. Mandy zeigt, worauf es ankommt, wenn CISOs Risiken nicht nur erklären, sondern spürbar vermitteln wollen. Dazu gibt es praktische Tipps, wie Sie schon vor dem nächsten Termin Ihre Stimme gezielt vorbereiten können.

Mehr Regulierung für Cybersicherheit?

In der heutigen Folge unseres Cybervize Podcasts haben wir die Ehre, Tobias Glemser, Geschäftsführer der Secuvera, zu begrüßen. Tobias ist eine anerkannte Persönlichkeit in der Welt der Cybersecurity, bekannt für seine tiefgehenden Kenntnisse und starken Meinungen zum Zustand der Cybersicherheit. Mein Gespräch mit ihm, das im Kontext seines Editorials für das iX-Magazin stattfand, hat bis heute nichts an Relevanz verloren. Wir vertiefen uns in die Diskussion über die Notwendigkeit einer stärkeren Regulierung der Cybersecurity für Unternehmen, ein Thema, das Tobias besonders am Herzen liegt. Er argumentiert, dass kein Bereich so wenig reguliert ist wie die Cybersecurity und dass der derzeitige Zustand der Unternehmen schlichtweg inakzeptabel ist. Ein spannendes Gespräch, das eine wichtige Frage aufwirft: Brauchen wir eine umfassende Regulierung für alle Unternehmen, um in der digitalen Welt sicher zu sein? Nach einer längeren Pause meldet sich der Podcast zurück. Das Leben als Startup-Gründer beeinflusst zwar die Zeit, aber nicht die Leidenschaft für andere Projekte, wie diesen Podcast. Bleibt dran und seid gespannt, wie wir das Projekt Podcast in Zukunft weiterführen werden.

Was ist OT Security?

In unserer heutigen Folge haben wir einen spannenden Gast für OT-Security im Studio. Reto Amsler, Experte für OT-Sicherheit von der Schweizer Firma Alsec, wird uns Wissenswertes über die Herausforderungen und Anforderungen im Bereich industrielle Kontrollsysteme erzählen. Wir werden dazu auch über die aktuellen Entwicklungen in der Schweiz sprechen. Wer sich für die Sicherheit kritischer Infrastrukturen interessiert, darf diese Folge auf keinen Fall verpassen!

Resilienz | #3 Rollenspiele

Mit meiner wunderbaren Gesprächspartnerin Milena habe ich hinter die Kulissen geschaut.

Zwischen Buzzword und höchster Priorität, das Thema «Resilienz» im Zusammenhang mit Cybersecurity ist im Moment heiß diskutiert.

Resilienz | #2 Die Awareness-Lüge?

Mit meiner wunderbaren Gesprächspartnerin Milena habe ich hinter die Kulissen geschaut.

Zwischen Buzzword und höchster Priorität, das Thema «Resilienz» im Zusammenhang mit Cybersecurity ist im Moment heiß diskutiert.

Resilienz | #1 Die Wunderwaffe Resilienz?

Mit meiner wunderbaren Gesprächspartnerin Milena habe ich hinter die Kulissen geschaut.

Zwischen Buzzword und höchster Priorität, das Thema «Resilienz» im Zusammenhang mit Cybersecurity ist im Moment heiß diskutiert.

Florian Jörgens | Vorwerk | Sensibilisierung ist der Schlüssel zur Cybersicherheit

In 4-Stufen effektiv Bewusstsein für Informationssicherheit schaffen.

Florian Jörgens ist CISO bei Vorwerk und beschäftigt sich besonders mit dem Thema Awareness. In unserem Gespräch erklärt er ganz fantastisch, warum der Mensch nicht das schwächste Glied, sondern die stärkste Kraft in der Verteidigungslinie gegen Cyberangriffe sein sollte. Besonders aufmerksam sollte man zuhören, wenn er sein 4-Stufen-Modell beschreibt und erklärt, wie Unternehmen effektiv Bewusstsein für Informationssicherheit schaffen können. Wir sprechen auch darüber, warum es die kleinen Ausnahmen sind, die zu Sicherheitsvorfällen führen, was Unternehmen in der Vergangenheit bei der Sicherheit falsch gemacht haben und wann die Rolle des CISO nur ein Alibi ist. Übrigens: Sind Phishing-Tests nützlich oder lästig und wie reagieren Mitarbeiter, wenn der Haftungsausschluss in der Email besagt, dass es sich nur um einen Phishing-Test handelt?

Milena Thalmann | Was muss ein CISO alles können? | Interview mit Rollentausch

Milena Thalmann aus der Kommunikation im Bereich IT möchte wissen, was ein CISO alles können muss.

Milena kümmert sich um Kommunikation in der IT und hatte die Idee, mir Fragen zum Chief Information Security Officer (CISO) zu stellen. Heute bin ich derjenige, der die Fragen beantwortet und Milena fasst es grandios zusammen. Das Ergebnis ist ein Einblick in die Rolle des heutigen CISOs, geprägt von den Erfahrungen aus vergangenen Podcasts mit Top-CISOs sowie meiner Rolle als Berater und Interim CISO. Vielen Dank, Milena! Was ist eigentlich die Aufgabe eines CISOs und was muss er beherrschen, um erfolgreich zu sein? Ist er eher ein Techniker, ein Influencer oder ein Manager?

Cybercrime Update mit Carsten Meywirth vom Bundeskriminalamt | Teil 2

Was tun nach einem Hack und wie können sich Unternehmen schützen.

Nach etwa einem Jahr spreche ich wieder mit Carsten Meywirth, Leiter der Abteilung Cybercrime beim Bundeskriminalamt. Wir unterhalten uns darüber, was nach einem Hack zu tun ist und wie sich Unternehmen schützen können. Begleiten Sie unsere Gedanken und Einblicke zur Cybersicherheit mit dem Hintergrundwissen des Bundeskriminalamts!

Cybercrime Update mit Carsten Meywirth vom Bundeskriminalamt | Teil 1

Einblicke in die Underground Economy, die Bedrohung durch die Hacker.

Nach etwa einem Jahr spreche ich wieder mit Carsten Meywirth, Leiter der Abteilung Cybercrime beim Bundeskriminalamt. Wir unterhalten uns über die Hintergründe der Underground Economy und das Vorgehen der Cyberkriminellen. Begleiten Sie unsere Gedanken und Einblicke zur Cybersicherheit mit dem Hintergrundwissen des Bundeskriminalamts!

Lukas Baumann | LocateRisk | Teil 2 - Techtalk

Unternehmen mit Pentesting von außen auf ihre Sicherheitslage prüfen

Heute erzählt uns Lukas, was LocateRisk mit Pentests für die Cybersicherheit von Unternehmen tun kann. Wir sprechen darüber, was Unternehmen über ihre externe Angriffsfläche herausfinden können und welche Erkenntnisse sie dabei gewinnen können, auch über ihre Dienstleister.

Lukas Baumann | LocateRisk | Teil 1 - Gründertalk

Lukas ist Experte für Cybersicherheit und erzählt seine Geschichte der erfolgreichen Gründung von LocateRisk, einem Cybersicherheits-Startup

Der Start von LocateRisk geht auf einen Hackathon in 2018 zurück. Die Idee: eine Softwarelösung zur Einschätzung von Cyber-Risiken im B2B-Kundenbereich. Das Ergebnis wurde mit dem ersten Platz prämiert und Lukas hat daraus ein profitables Cybersicherheits-Startup aufgebaut. Wie er das geschafft hat, berichtet er hier im Interview. https://locaterisk.com/

Frauen in Cybersecurity | Lara Neumann | Pentesterin

Ein Interview mit der Pentesterin Lara Neumann

Frauen und Cybersicherheit sollten kein Widerspruch sein. Trotzdem gibt es immer noch wenige Frauen in den sehr technischen Bereichen der Cybersicherheit. Umso mehr Grund für mich, mit Lara über ihre Erfahrungen auf dem Weg zur Pentesterin zu sprechen. Sie spricht über ihre Einschätzung von Frauenquoten, ihr Interesse an Mobile Security und ihre Arbeit als Pentesterin. Außerdem gibt Lara Tipps zur Weiterbildung für Pentester und erklärt, warum es ein interessanter Beruf ist - sowohl für Frauen als auch für Männer. #womanintech #women4cyber

IT-Sicherheit braucht mehr als Endpointschutz | Future Interactive Talk mit der Bitbone AG

Ein Talk mit Sebastian Scheuring und Johannes Ulbrich von der bitbone AG

Mit Sebastian Scheuring und Johannes Ulbrich von der bitbone AG war ich von der Future Interactive zu einem Talk zum Thema "IT-Sicherheit braucht mehr als Endpointschutz" eingeladen. Warum angeblich 95% der Schäden im Cybersicherheitsbereich durch Menschen verusacht werden, wie man sich vor Ransomware schützt und wie Angriffe erfolgen, wer die Angreifer sind und was aus Securitysicht im Homeoffice passiert ist, besprechen wir hier gemeinsam. Viel Spaß beim hören.

Supply Chain und DevSecOps

Mit Marius Fehlemann

In dieser Folge spreche ich mit Marius Fehlemann über die Supply Chain, DevSecOps und die Kultur, die es dafür braucht. Kann DevSecOps Sicherheitsprobleme wie Solarwinds, Kaseya oder Log4j verhindern? Nebenbei klären wir, wie Unternehmen DevSecOps einsetzen können und welche Hindernisse dabei auftreten können. Es fallen viele Fachbegriffe wie Container und Kubernetes, die wir für technisch weniger versierte Zuhörer erklären. Wir freuen uns auf Feedback.

Cybervize Jahresrückblick | 2021 | Teil 2

Das Jahr 2021 aus der Sicht der Cybersecurity

Im zweiten Teil des Jahres hat es uns das Jahr 2021 noch einmal so richtig gezeigt 💣 Wir sprechen über Handyüberwachung durch Geheimdienste, den ersten deutschen Katastrophenfall durch einen Cyberangriff, Hausdurchsuchungen bei Sicherheitsforschern, die Verschlüsselung der Daten von 1.500 Unternehmen durch einen infizierten Dienstleister, den Hack eines ganzen Providers durch Anonymus zur Abschaltung der Website von Attila Hildmann und über Banking-Trojaner, in Apps aus dem Google App Store. Und das Jahresende brachte uns auch log4j, so dass uns die Sicherheit auch im Jahr 2022 auf Trab halten wird. Mehr Informationen zum Handel mit Zerodays: https://www.linkedin.com/pulse/zero-day-exploits-prices-rise-alexander-busse/ Birthday paradoxon and the concept of hash collisions: https://towardsdatascience.com/when-birthdays-collide-6e8a17b422e7  Der neue Standard für vulnerability reporting, Security.txt:  https://portswigger.net/daily-swig/security-txt-iesg-issues-final-call-for-comment-on-proposed-vulnerability-reporting-standard Der "Hackerparagraph": https://www.gesetze-im-internet.de/stgb/__202a.html " Alles zum Podcast unter https://www.cybervize.de/podcast

Cybervize Jahresrückblick | 2021 | Teil 1

Das Jahr 2021 aus der Sicht der Cybersecurity

Was für ein Jahr aus der Sicht der Cybersecurity, es fing an mit dem spektakulären Hack bei Solarwinds, China hat mutmaßlich mit Hafnium den Microsoft Exchange Server angegriffen, Ransomware Gruppen haben Opfern Geld zurück bezahlt, meistens aber doch mit Erpressungen kassiert. Russische Hackerforen wurden gehackt, Teile der Treibstoffversorgung der USA waren in der Hand von Erpressern, Nordkoreanische Hacker dringen in Südkoreas Atomforschungsbehörde ein - und das sind nur die ersten sechs Monate von 2021! Im Podcast sprechen wir über die Passwordliste rockyou. Um herauszufinden, ob man selbst schon mal Opfer eines Hacks geworden ist, kann der  HPI Identity Leak Checker des Hasso-Plattner-Instituts helfen: https://sec.hpi.de/ilc/search?lang=de Die Suchmaschine für das Internet der Dinge findet sich hier: https://www.shodan.io/ Alles zum Podcast unter: www.cybervize.de/podcast

CISO Interviews | Jimmy Heschel | Red Bull

Cybesecurity in den Geschäftsfeldern Getränke, Sportmanagement und Medien

Jimmy Heschel ist CISO bei Red Bull. Dort wird das berühmte Getränk hergestellt, das für Energie und Ausdauer steht - was wiederum auch Jimmy sehr gut charakterisiert. Neben diversen Zertifizierungen aus dem Bereich Cybersecurity ist er Gerichtssachverständiger, Dozent an Universitäten, ehemaliger Berater und Auditor und engagiert sich in verschiedenen Gremien für Cybersecurity. Jimmy hat immer eine starke Meinung und spricht sie offen aus. Dennoch sucht er auch nach der anderen Sichtweise, um seinen Horizont zu erweitern. Wie er das macht, erzählt er im Podcast. Neben unserer Begeisterung für Cybersicherheit haben wir auch eine gemeinsame Vergangenheit als Berater im gleichen Unternehmen. So dauerte unser Gespräch schnell mehr als 2 Stunden und wir haben den vielleicht längsten deutschen Security-Podcast aufgenommen.

CISO Interviews | John van Leeuwen | Vodafone

Cybesecurity bei einem Telekommunikationsanbieter

John ist bei einem der großen Telekommunikationsanbieter für die Cybersicherheit und damit für einen Teil der "kritischen Infrastruktur" (KRITIS) für die Informationstechnologie- und Telekommunikationsbranche in Deutschland verantwortlich. Ohne die großen Telekommunikationsanbieter läuft in der digitalen Welt natürlich nichts. Ein Cyberangriff kann hier massive Auswirkungen auf Menschen und Unternehmen in Deutschland haben. Doch wer sind die drei Musketiere, wie groß ist Johns Team und worum kümmert es sich, wie viele SMS werden täglich im SMS-Spamfilter abgefangen und was ist ein automatisches ISMS? Die Antworten finden sich in diesem Interview.

CISO Interviews | Tom Hofmann | Eniwa

Cybesecurity in einem Energie-Dienstleistungsunternehmen

Tom ist verantwortlich für die Cybersicherheit in einem Unternehmen, das Strom, Erdgas/Biogas, Heizung/Kühlung, Wasser, Telekommunikation und Energiedienstleistungen in der Schweiz anbietet. Er ist auch ein aktiver Forscher auf dem Gebiet des Human-Centered Design, das er auf seine Arbeit als CISO anwendet, und hält Vorlesungen an einer Fachhochschule. Wo hilft ihm human-centered design bei seinen Aufgaben und warum wissen wir seit 80 Jahren, dass der Ansatz, den Mitarbeitern die Schuld zu geben, wenn neue Technologien nicht die erwarteten Ergebnisse bringen, falsch ist?

CISO Interviews | Christophe Monigadon | Berner Kantonalbank

Cybesecurity bei einer Schweizer Bank

Christophe ist bei einer Schweizer Bank für die Cybersicherheit zuständig. Schweizer Banken haben in der Welt einen ausgezeichneten Ruf, aber wie schützen sie sich vor digitalen Bankräubern? Christophe lädt zum Beispiel neue Mitarbeiter zu einem virtuellen Kaffee ein und spricht dann nicht über Sicherheit. Stattdessen spielen hier Gummibärchen eine wichtige Rolle. Warum es Mutter Theresa und Bruce Willis braucht, um Mitarbeiter in Sachen Cybersicherheit zu überzeugen, verrät er in diesem Interview. Mit Christophe hatte ich ein sehr kompaktes Interview, was wohl einer zu ausführlichen Vorbesprechung geschuldet ist. Man kennt das ja, Männer erzählen nichts zweimal 😊 Trotzdem und vielleicht auch wegen der Kompaktheit wird die besondere Art von Christophe und wie er mit viel Einfühlvermögen die Mitarbeiter für Cybersecurity gewinnt, sehr auf den Punkt dargestellt.

CISO Interviews | Olaf von Wackerbarth | GE Healthcare

Cybesecurity in der Pharmabranche

Olaf von Wackerbarth ist Information Security Officer EMEA bei GE Healthcare und verantwortet in einer globalen Rolle sowohl Datenschutz und Cybersicherheit für das Unternehmen selbst sowie auch für die Medizinprodukte des Unternehmens. In einer stark regulierten Branche muss er die jeweiligen Anforderungen von 112 Ländern berücksichtigen. Eine weitere Herausforderung ist die Langlebigkeit der Produkte über 10 oder 15 Jahre. In diesem Podcast erklärt er außerdem, welche Auswirkungen die DSGVO und Safe Harbor in seinem Bereich hatten. Nebenbei sagt er uns, was passiert, wenn man einen FTP-Port auf einem Gerät im Internet öffnet, nur um es zu testen, und warum das Experiment nach 2 Stunden abgebrochen werden musste.

CISO Interviews | Jannik Schumann | (Ehemals) Trade Republic

Cybesecurity in einem Fintech StartUp

Im Sommer hatte ich die Gelegenheit, Jannik Schuman als CISO von Trade Republic zu interviewen. Zum Zeitpunkt der Veröffentlichung des Podcasts ist Jannik dort nicht mehr CISO und ich wünsche ihm alles Gute! Er erzählte mir von seiner spannenden Rolle bei Trade Republic. In einem schnell wachsenden Startup, das gleichzeitig ein regulierter Finanzdienstleister ist, für die Cybersicherheit verantwortlich zu sein, ist sicherlich eine Herausforderung auf höchstem Komplexitätsniveau. Wir sprechen u.a. über Fehlerkultur, kurze Kommunikationswege in einem StartUp, den Umgang mit Phishing-E-Mails und wie bin ich als Sicherheitsabteilung ein Business Enabler?