Wir haben heute einen ganz besonderen Gast bei uns und zwar Michael Trabert. Er ist Experte für Cybersecurity und Datenschutz. Katja und ich haben Michael schon in unserer Ausbildung als KI-Trainer kennengelernt. Also er ist auch gelernter KI-Trainer und auch da schon mehrmals von seiner Expertise profitieren können. Er hat sehr viel Erfahrung, umfangreiche Erfahrung in verschiedenen Gebieten und unterstützt Unternehmen dabei die Sicherheit ihrer Daten zu gewährleisten und gleichzeitig ihre Prozesse unter anderem auch natürlich mit KI-Technologien zu verbessern. Möchtest du noch was ergänzen, Michael? Ja, also die meisten sehen dann immer meine Bezeichnung TÜV-geprüfter Fachberater für Cyberrisiken und denken meistens das hat mit IT-Sicherheit zu tun und einleitend dazu gleich IT-Sicherheit ist nur ein kleiner Teil davon, gehört natürlich auch zu den Cyberrisiken aber Thema Datenschutz gehört mit dazu, ist also verknüpft und das Thema Faktor Mensch ist eigentlich das größte Risiko bei den Cyberrisiken. Und diese drei sind eigentlich verbunden. Von daher ist es auch wichtig, dass man da im Netzwerk zusammenarbeitet. Einer allein kann das Know-How nicht haben. Und hier habe ich eben Kooperationspartner, IT-Sicherheitsunternehmen, aber auch Berufshacker. Also das sind die guten, nicht die bösen. Super, da hast du ja ein paar gute Leute an der Hand. Genau. Wir haben uns im Vorfeld ja so ein paar Sachen überlegt, die wir dich fragen können, damit uns mal deine Expertise ein bisschen mitteilen kannst und unseren Zuhörern, dass die auch mal hören, was muss man denn wirklich auch beachten, wenn man KI in Unternehmen einsetzt? angesichts... der zunehmend Integration von KI im Sozial- und Gesundheitswesen. Wie können wir sicherstellen, dass die ethischen Bedenken und vor allem auch die Daten angemessen berücksichtigt werden? Also insbesondere bei sensiblen Anwendungen wie der KI-gestützten Verarbeitung zum Beispiel von Patientendaten oder klinischen Diagnosen? Hast du da eine Antwort für uns? Ja, eine kurze Antwort natürlich. Eine ausgiebige wäre hier zu umfangreich. Aber dennoch KI in Verbindung mit Cyberrisiken ist natürlich so, dass das System von der Kontrolle des Administrators abhängt. Und das ist größtenteils IT-Sicherheitsthema. Und je nachdem, wer im Gesundheitsbereich die IT administriert - ob das ein externer Dienstleister ist oder interner - der hat natürlich hier die Themen Zugangskontrollen, Zutrittskontrolle und so weiter über, dass er systemisch herstellen kann oder sollte. Und das ist der technische Teil. Es gibt aber auch organisatorische Dinge, die zu Regeln gelten. Und hier kann man theoretisch auch KI mit einsetzen. Dass was wir in der Ausbildung gelernt haben, LLMs einzusetzen, um Dinge zu erleichtern. Und da wäre es gut, wenn man jemanden hätte, der einem hilft, wie ihr zum Beispiel, um ein LLM zu programmieren, um den Mitarbeitern bei der Abwehr zu helfen. Das ist nämlich ein wichtiger Teil, nämlich nicht nur der IT-Sicherheit, sondern auch der Faktor Mensch, die Mitarbeiter im System. Aber auch der Chef. selber muss das verstehen und der muss es als erster natürlich in die Wege leiten, weil er die Verantwortung trägt am Ende. Wenn er das nicht weiß und das ist sehr oft der Fall leider, dann überlässt er alles der IT-Sicherheit und dann fehlt der ganze Rest. Thema Datenschutz, Ethik und natürlich auch Faktor Mensch. Und wenn man den Mitarbeitern das überlässt und die dementsprechend dann einen Datenschutzvorfall ohne Kenntnis natürlich produzieren, dann bekommen die die Schuld. Jetzt wissen wir natürlich dann auch Mitarbeiter intern entstehen da in der Kultur, in der Firmenkultur auch Probleme, die dann im Umgang mit den Chefs wieder zu weiteren Druck aufbauen führen, Ängste, die geschürt werden. Natürlich auch vor Hackern, die irgendwelche bedrohliche Dinge tun können. Und das ist natürlich eine Kombination aus allem. Sollte man irgendeine Regelung finden und das ist der erste verantwortliche der Chef, der das hier einleiten muss und das koordinieren muss. Also um die Verantwortlichkeit nicht hin und her ewig schieben zu können, am besten sich einen Experten zur Seite holen, wie dich, für Datenschutz und einen Experten wie uns, KI-Trainer, dass sie Mitarbeitern ein bisschen was erzählen über wie bedient man diese Sachen, auf worauf muss man achten, wo ist Datenschutz ein Thema. Ja, danke für deine Perspektive darauf. Das bringt uns schon zu unserem nächsten Thema, nämlich Cybersecurity, hast du schon erwähnt. Was würdest du denn solchen Einrichtungen, sagen wir mal betreutes Wohnen, soziale Einrichtung, was würdest du solchen raten? Wie können sie sich am besten gegen Cyberkriminalität schützen? Wie können sie da vorgehen? Ja, also man sollte, als erster verantwortlicher der Chef, erkennen, was die Unterschiede sind. Er sollte sich informieren, worauf es denn ankommt, wie Datenschutz, wie Cybersicherheit, wie IT-Sicherheit und de facto Mensch eigentlich zusammenspielen. Und wenn er dieses Knowhow hat... muss ihm dann klar werden, dass er ein internes Sich einführen muss. Und das beinhaltet immer alle drei Bestandteile. Faktor Mensch, sprich die Mitarbeiter müssen geschult werden über Dinge, was passieren kann als Präventionsmaßnahme. Ich sage immer die Mitarbeiter so schulen, dass die zum Schutzschild des Unternehmens werden. Und dementsprechend ist das die firmeigene Feuerwehr. den Cyber-Vorfall. Und dann müssen natürlich die IT-Administratoren auch wissen, dass organisatorische Maßnahmen nicht nur für die Technik wichtig sind, sondern auch für alle anderen Dinge, die demnach zur Prävention wichtig sind. Also das zu koordinieren ist ein Prozess, den es gibt und da gilt an erster Stelle auch was in großen Deutschland DAX Konzernen beispielsweise immer ein Vorstand weiß, dass die erste wichtigste Aufgabe, die Priorität ist, das Unternehmen vor Schaden zu bewahren. Das zählt vor allem anderen, also nicht Umsätze oder wie gewinne ich Kunden, sondern erster Stelle, das Unternehmen vor Schaden zu bewahren. Wenn wir uns daran halten, was große Konzerne wissen und immer schon tun, auch in kleinen Unternehmen das erstmal erkennen, dann muss man hier davon ausgehen, dass es nicht darum geht, sich nur zu schützen vor einem Schaden, sondern davon auszugehen, der Schaden tritt ein. Und was ist dann zu tun? Also ein Notfallprozess braucht es. Und Prävention ist schön und gut. Aber was tue ich und wer ist verantwortlich, wenn der Fall dann eintritt und die IT-Technik ist außer Kraft gesetzt? Beispielsweise ein Hacker fordert jetzt Lösegeld und droht damit, Patientendaten im Netz zu veröffentlichen. Was tue ich jetzt? Und jetzt ist es natürlich abzuraten, einfach direkt gleich das Lösegeld zu bezahlen. Aber wie verhandelt man mit einem Hacker? Auch da gibt es Prozesse, die man eben erfüllen muss und sicherstellen muss, dass erstens die Betriebsablauf so schnell wie möglich wiederhergestellt werden kann, die Systeme wieder funktionieren, das Unternehmen vor großen Schaden, wie Lösegeldforderungen, gewahrt wird, geschützt wird oder aber auch solche Verhandlungen. Da braucht man erfahrene Leute mit Hacker zu kommunizieren, um da nicht wirklich einen so hohen Schaden zu haben, der am Ende wieder so viel Geld kostet, den man nicht in eigene Investitionen, beispielsweise in die eigenen Mitarbeiter oder auch in KI-Anwendungen investieren kann, weil das Geld würde dann fehlen. Ja, da hast du schon eine gute Einleitung gegeben. Ich habe mich dann auch schon ein paar Mal gefragt, ja, was ist, wenn du wirklich zu dem Punkt mal kommst, wenn du wirst, dass das Beispiel jetzt vom Hacker genannt oder wenn jetzt zum Beispiel Patientendaten missbräuchlich verwendet werden, sei es durch Mitarbeiter oder so, wenn er jetzt mit bestimmten Chat Bots zum Beispiel arbeitet. Wer trägt dann die Verantwortung und Haftung dafür, wenn eben, wenn die halt diese KI-Systeme im Sozial- und Gesundheitswesen also einbetten, mit den Arbeiten. Wie kann man da sicherstellen, dass so die Qualitätsstandards eingehalten werden, auch wenn man mit diesem System arbeitet? Hast du da noch eine Antwort drauf? Ja im Prinzip ist da kein Unterschied zu anderen Unternehmen, weil die Haftungsrisiken gilt immer für die Geschäftsführung. Also auch hier bei Krankenhäusern der Direktor, also überall sind die Verantwortlichen immer in der obersten Etage zu suchen. Die haben die Verantwortung und werden dafür auch haftbar gemacht. Und das gilt sogar Auch bei Geschäftsführern einer GmbH und so weiter, die immer glauben, ja ich bin ja hier eigentlich Opfer einer Hacker-Attacke oder Bußgeld von der Datenschutzbehörde, kann ich auch nichts für, weil ja ein Hacker, das die Daten veröffentlicht hat. Das ist leider nicht der Fall. Die DSGVO sieht vor, dass ich bestraft werde als Täter. Und ich bin verantwortlich als Chef. Und das muss man eben wissen. Und dann spätestens in meiner Beratung wird der Geschäftsführer immer hellhörig und sagt Mensch, jetzt muss ich aber endlich was tun, wenn ich persönlich haftbar gemacht werde. Ah, so ist das. Dann muss ich jetzt tatsächlich die Maßnahmen ergreifen. Also das zum Thema Verantwortung. Ja, die trägt immer der Chef. Es gibt der berühmte Fall im Krankenhaus Neuss NRW, das vor zwei Jahren, glaube ich, ist schon her, gehackt wurde. Und das sind Systeme außer Kraft gesetzt worden. Und ein Patient ist gestorben, weil ein Gerät ausgefallen ist. Und hier wurde der Direktor sogar strafrechtlich belangt. Also nicht nur. schadensersatzforderung, Schmerzensgeld von natürlich Betroffenen, sondern auch noch von der Strafseite her. Danke schön für die Beispiele. Was wäre der eine Rat, den du unseren Zuhörern heute mitgeben könntest? Ja, also der eine Rat ist eben einen kompletten Notfallprozess zu installieren, der davon ausgeht, der Schaden tritt ein. Weil alle IT-Sicherheitsexperten der Welt sind sich einig, es geht nicht darum ob, sondern wann ich von einer Attacke betroffen bin. Egal wie das passiert, durch den berühmten Mausklick eines Mitarbeiters, sag ich immer so schön. Oder aber auch beim Prompt-Ingeniering, ja, über ChatGPT. kann ein Hacker hier auch einen Code einschleusen und wenn ich nicht darauf aufpasse, klick auf Enter ist der Hacker im System. Also wenn das der Fall ist, ich werde also irgendwann Opfer werden, dann muss ich jetzt die Notfallprozesse haben und die beinhalten natürlich auch, dass ich ein Forensik-System habe, ein IT-Forensiker, der mir hilft, meine Systeme wieder zu säubern. Das hilft mir in der Krise, wie ein Krisenmanager, mich zu betreuen, aus Experten und dazu gibt es Netzwerke, die hier behilflich sind, auch wie IT-Rechtsanwälte, die mir helfen, die Meldebögen für die Datenschutzbehörde zu erstellen, die Krisenkommunikation auch mit der Polizei und Bundeskriminalamt etc. zu gestalten. Und dafür ist zum Beispiel eine Cyberversierung ein wichtiger Rat, der zu diesem Krisenmanagement dazugehört. Weil eine Cyberversierung hilft mir genau bei diesen Dingen, hat eine Rechtsberatung dabei, hilft mir, die Systeme wiederherzustellen durch IT-Dienstleister, die da angehörig sind und übernimmt eben nicht nur die Kosten, sondern auch die Initierung von der Soforthilfe, wie ich sie immer nenne, und hilft mir auch bei... Lösegeldforderungen mit den Hackern zu verhandeln und die wissen genau wann ist es gut das Lösegeld zu zahlen, weil es keine andere Chance gibt oder wann eben nicht. Und das übernehmen die alles und übernehmen dann auch noch die Kosten der Betriebsunterbrechung wenn nämlich der ganze Betrieb still steht oder ich Umsatzverluste habe und dementsprechend auch noch Ansprüche von dritten Personen, wie zum Beiespile auch Schmerzensgeldforderung was ihr durch Anwälte der Gegner auch noch dazukommt. Genau. Also das wäre ein wichtiger Punkt zu einer 24 x 7 Soforthilfe inklusive Versicherungsschutz. Wo ist dieser Versicherungsschutz gültig? Könnte man das auch, ich komme aus der Schweiz, in der Schweiz machen und Katja kommt aus Österreich, das auch in Österreich in Anspruch nehmen. Ja, also ich habe da zwei spezielle Konzeptanbieter, die sich nur auf Cyber spezialisieren und einer davon, der bietet auch Lösungen für die Schweiz an. Alle anderen, bei Österreich ist es in der Regel unproblematisch. Es soll nichts gegen die Schweizer heißen, aber das ist ja so bei den Versicherungen, die Vorgaben, dass nicht jeder ein Produkt für die Schweiz hat. Aber auch dafür habe ich Produktanbieter, die da eine Lösung haben, auch für die Schweiz. Ja, also diese Informationen findet ihr auch bei mir auf der Homepage. Katja wird da einen Link dazu fügen, wo ihr wissen darüber, wie man sowas implementiert, auch zum Thema Cyberversicherung findet. Und wenn ihr nicht einfach bei mir melden und mich fragen, auch über die Homepage könnt ihr einfach einen Termin einbuchen bei mir. Danke Michael. Ja, gerne. Hat mich gefreut. Vielen Dank für die Einladung. Also der Michael, unser Datenschutzexperte, ist ein Kollege von uns sozusagen. Wir sind alle KI-Trainer und wir haben, falls wir die Fragen nicht beantworten können, die ihr habt, wir sind sehr gut vernetzt. Wir kennen in jedem Bereich irgendeinen KI-Trainer. Wir können gerne jemanden empfehlen, für was immer schon anfällt. Und der Michael nehmen wir immer gerne zu, so Cybersecurity Fragen, IT-Security und vor allem Datenschutz. Am meisten habe ich aus diesem Gespräch gelernt, dass man einen Notfallprozess haben soll. Einen Standard Operating Procedure für was wäre wenn, weil die Frage ist nur wann kommt eine Attacke, sei es eine Hacker-Attacke. Nicht wie wert man sich ab, sondern was macht man wenn es da ist, sodass man sich absichert. Wir haben aus unserem Gespräch im Nachhinein auch gelernt, dass Plugins und diese Schnittschnellen, wo man verschiedene Programme mit anderen Programmen verbindet, immer ein Security-Risiko darstellen. Und für mich ist die Essenz aus dem heutigen Podcast, dass glaube ich der Schlüssel daran liegt, dass man so eine Balance zwischen Technologie und auch den ethischen und datenschutzrechtlichen Bedenken finden muss. Wir müssen wirklich sicherstellen, dass die Sicherheit und das Wohlbefinden der Patienten immer an erster Stelle stehen und damit verbunden natürlich auch die persönlichen Daten. Es bedeutet auch, dass wir eben klare Richtlinien und Standards für den Einsatz von KI-Systemen benötigen. In Unternehmen bedeutet das, dass Personal kontinuierlich geschult werden muss und vor allem auch sensibilisiert werden muss im Bezug darauf, wenn man KI im Unternehmen anwendet. Auf was muss man dort alles achten.