3 Erkenntnisse aus dieser Folge
- 01
Der wichtigste Security-Hebel ist nicht Tooling, sondern Teamarbeit. Ein geprobter Incident-Response-Plan schlägt jede Premium-Firewall, wenn der Ernstfall kommt.
- 02
Cyber-Risiken wachsen schneller als die Budgets der Mittelständler. Wer hier auf 'wir tun genug' vertraut, läuft in einen Versicherungsfall hinein — nicht in eine Abwehr.
- 03
Der unterschätzteste Moment einer Krise ist die externe Kommunikation. Wer nicht vorbereitet ist, wie er mit Kunden, Behörden und Medien spricht, macht aus einem technischen Vorfall einen Reputationsschaden.
Worum es in dieser Folge geht
Abschluss der Vodafone-Serie — und vielleicht die wichtigste der vier Folgen. Marc verantwortet die Security-Lösungen bei Vodafone für Geschäftskunden und sitzt damit an der Schnittstelle zwischen technischer Abwehr und unternehmerischer Realität. Wir reden nicht über Pen-Tests, wir reden über Kultur, Prävention und Krisenfall.
Die Storyline
Warum "Security ist Teamwork" mehr ist als ein Leitspruch
Wenn ich einen einzigen Tipp geben könnte, wäre es: Redet über das Thema. Macht Security sichtbar, macht es zum Tischgespräch. Denn Security ist Teamwork.
Marc wiederholt diesen Satz mehrfach, und er meint ihn nicht als Marketing-Slogan. Die meisten Cyber-Vorfälle in deutschen Unternehmen starten nicht an der Firewall — sondern am Menschen, der auf einen Phishing-Link klickt. Die beste Technik hilft nicht, wenn die Kultur sie untergräbt.
Prävention: Was der Mittelstand wirklich tun muss
Marc nennt eine nüchterne Hierarchie: 1. Asset-Inventar: Was haben wir überhaupt, das schützenswert ist? 2. Zugriffsrechte: Wer darf was — und wer nicht mehr? 3. Patching-Disziplin: Die einfachste und am häufigsten vernachlässigte Maßnahme. 4. Awareness-Training: Wiederholt, nicht einmalig.
Das ist keine Shock-Statistik, das ist Realität. Die meisten erfolgreichen Angriffe nutzen bekannte, lange behobene Lücken.
Der Ernstfall — was Unternehmen unterschätzen
Marc wird sehr konkret: Die meisten Unternehmen haben keinen geprobten Notfallplan. Sie haben eine Dokumentation, aber sie haben sie nie durchgespielt. Wenn der Ernstfall kommt, entstehen die teuersten Verluste in den ersten 24 Stunden — weil niemand weiß, wer entscheidet, wer kommuniziert, wer externen Support koordiniert.
Der Reputations-Moment
Ein Punkt, den ich persönlich unterschätzt hatte: Die technische Wiederherstellung ist oft der einfachere Teil einer Cyber-Krise. Der schwierigere ist die Kommunikation. Wie sprichst du mit Kunden? Mit Aufsichtsbehörden? Mit Medien? Mit Mitarbeitenden? Ein falsches Statement in den ersten Stunden kann mehr Schaden anrichten als der Ausfall selbst.
Was Marc empfiehlt
- Mindestens einmal jährlich eine Table-Top-Übung für den Krisenfall.
- Klare Kommunikationslinie mit vordefinierten Verantwortlichkeiten.
- Externe Security-Partner vor der Krise auswählen, nicht in der Krise.
Warum mich das besonders umtreibt
Ich habe in Beratung und in Gesprächen mit CDOs oft erlebt, dass Cyber Security als "Kostenstelle" behandelt wird — ein unbeliebter, schwerfälliger Bereich, der Budget frisst. Marcs Folge erklärt klar, warum das sich in 2026 nicht mehr leisten lässt. Ein einziger ernsthafter Vorfall kann das Zehnfache dessen kosten, was eine solide Prävention über Jahre kostet. Und die Zeiten, in denen man auf "uns trifft's nicht" hoffen konnte, sind vorbei.