Johannes Stillig x Optimyze Consulting

Tribe Talks #3: Security ist Unternehmenssache, nicht nur IT

In diesem Gespräch mit Johannes Stillig (Head of Security / CISO) sprechen wir über Security Awareness, die wichtigsten „Basics“, typische Fehlannahmen rund um Security-Tools sowie sinnvolle Schritte im Umgang mit Ransomware – von Prävention bis Recovery. Das Interview richtet sich an Gründer:innen, CTOs und Führungskräfte, die Security pragmatisch und wirksam verankern möchten.

Hinweis/Disclaimer: Die folgenden Aussagen spiegeln ausschließlich die persönliche Meinung von Johannes Stillig wider und repräsentieren nicht die Positionen, Strategien oder Ansichten seiner aktuellen oder früheren Arbeitgeber.

Antonia Bader: Stell dich bitte kurz vor. Wer bist du und was machst du aktuell beruflich?

Johannes Stillig: Mein Name ist Johannes Stillig. Ich bin aktuell Head of Security beziehungsweise Chief Information Security Officer bei einem international tätigen Asset Manager. Wir investieren in Listed Equities, Private Equity und Real Estate. Weltweit sind wir rund 300 Mitarbeitende und engagieren uns in allen für uns relevanten Märkten.

Antonia Bader: Wie bist du ursprünglich in die Cybersecurity gekommen, und was hat dich dazu gebracht, in dem Feld zu bleiben?

Johannes Stillig: Gute Frage. Ich bin seit meinem 20. Lebensjahr Vollzeit in der IT-Security unterwegs. Ehrlich gesagt hatte ich Glück: Über ein Schulpraktikum konnte ich nach dem Abitur zu derselben Firma zurückkehren, dort ein duales Studium starten und später noch meinen Master in IT-Security machen. Vieles war Eigeninitiative, das Thema hat mich früh fasziniert. Ich gehöre wahrscheinlich zu einer der letzten Generationen, die sich vieles noch „im Keller der Eltern“ beigebracht hat. Heute gibt es überall Studiengänge, damals war das noch nicht so verbreitet. Bei mir ist es daher ein bisschen anders gelaufen. Die frühen Jahre als Penetrationstester waren intensiv: viel lernen, viel arbeiten, und ja, auch mal etwas zu Bruch gehen lassen. Einmal brachte ich versehentlich das Lager eines Automobilzulieferers zum Stillstand. Nicht gerade mein Glanzmoment. Vermutlich nicht mein stolzester Moment… oder doch? 😉

Antonia Bader: Bist du also direkt in die Cybersecurity eingestiegen oder gab es vorher einen anderen Bereich?

Norman Köhring: Ich wusste von Anfang an, dass mich das Thema interessiert. Ich habe mir viel selbst beigebracht und fand Sicherheit immer spannend. In Deutschland habe ich zunächst stärker in Governance, Risk & Compliance gearbeitet und bin dann zunehmend ins Technische gewechselt. Später bin ich nach England gegangen, habe dort vier Jahre als Penetration Tester gearbeitet und bin dann in Incident Response gewechselt. Das Ganze zunächst im Consulting, wo ich ein Team aufgebaut habe.

Antonia Bader: Welche Unterschiede fallen dir zwischen England und Deutschland in Bezug auf Karriere, Arbeitskultur und Security auf?

Norman Köhring: Spannend ist vor allem der Blick auf die Länderunterschiede: Karrierewege funktionieren in England anders als in Deutschland. Mut zu kalkuliertem Risiko zahlt sich dort häufig aus – in der Cybersecurity gilt hingegen ein deutlich konservativeres Vorgehen. Zudem zeigt sich: Mit wachsender Verantwortung wird der menschliche Faktor immer wichtiger. Klare, strukturierte Kommunikation ist entscheidend, und technischen Jargon lässt man besser zu Hause. Über einen Recruiter bin ich schließlich in meine heutige Rolle gekommen und verantworte hier die gesamte Security als erster fest angestellter Mitarbeiter im Security-Team.

Antonia Bader: Was erlebst du konkret anders in In-house-Rollen im Vergleich zu Consulting-Projekten?

Norman Köhring: Der größte Umgewöhnungsfaktor ist die Geschwindigkeit. In-house laufen Prozesse deutlich langsamer, und Vorhaben werden konsequent bis zum Ende umgesetzt – nicht nur die anfängliche Zündung, wie sie Berater:innen häufig geben.

Antonia Bader: Ich würde gern zuerst über Security Awareness sprechen. Stell dir vor, du hast 30 Sekunden mit einem Geschäftsführer, der denkt, IT-Sicherheit sei nur „nice to have“. Was sagst du ihm in einem Satz?

Johannes Stillig: Der finanzielle Schaden einer Datenpanne lässt sich oft schwer exakt beziffern, der Reputationsschaden jedoch ist real, langanhaltend und für viele Unternehmen am schwierigsten zu reparieren – genau den schützen wir. Mehrfach habe ich gesehen, wie Datenpannen Deals kippen: Der Abschluss läuft anders als erwartet, oder der Kunde wechselt den Anbieter. Für Firmen mit überschaubarem Kundenportfolio ist das besonders riskant.

Der Reputationsschaden ist real, langanhaltend und für viele Unternehmen am schwierigsten zu reparieren – genau den schützen wir.
Johannes Stillig

Antonia Bader: Was sind aus deiner Sicht die gefährlichsten Denkfehler, die Unternehmen beim Thema IT-Sicherheit machen, und warum halten sie sich so hartnäckig?

Johannes Stillig: Viele sehen Cybersecurity als rein technisches Thema.Klar, dein Team braucht je nach Aufgabe tiefe technische Expertise. Aber Sicherheit betrifft das gesamte Unternehmen, nicht nur Antivirus und Firewall. Wenn Unternehmen glauben, die zwei, drei IT-Admins halten den Virenscanner aktuell und damit sei es getan, ist das ein Rezept für Probleme. Sicherheit muss „by design“ in Prozesse und Produkte – besonders, wenn man Software entwickelt oder SaaS anbietet. Wenn Security nicht von Anfang an mitgedacht wird, geht es früher oder später schief.

Viele sehen Cybersecurity als rein technisches Thema – das ist ein Rezept für Probleme.
Johannes Stillig

Antonia Bader: Was wäre ein konkretes Beispiel für Security by Design?

Johannes Stillig: Ein gutes Beispiel ist etwa, schon in der frühen Konzeptphase eines neuen SaaS-Features Datenschutz- und Zugriffskontrollen mitzudenken und automatisierte Tests für Authentifizierung und Berechtigungen in die CI/CD-Pipeline zu integrieren.

Antonia Bader: Welche Maßnahmen helfen aus deiner Sicht, nicht in die „IT-only-Denken“-Falle zu tappen?

Johannes Stillig: Eine wirksame Gegenmaßnahme gegen das „IT-only-Denken“ ist, Sicherheit fest in die Unternehmens- und Führungskultur einzubetten. Das heißt: Security-Ziele gehören in die Verantwortung der Fachabteilungen – nicht ausschließlich in die der IT. Ergänzend wirken regelmäßige, praxisnahe Awareness-Trainings für alle Mitarbeitenden, nicht nur für Entwickler:innen oder Admins. Security Awareness ist zentral: Mitarbeitende sind in der Praxis oft die wichtigste „Firewall“. So wird klar: Jede Rolle trägt Verantwortung für Sicherheit – von der Produktentwicklung über Vertrieb bis Support. Wer versteht, wie das eigene Handeln Risiken beeinflusst, sieht Security nicht mehr als isoliertes IT-Thema, sondern als gemeinsamen Erfolgsfaktor.

Antonia Bader: Du legst viel Wert auf solide Grundlagen, die Basics. Wenn du nur drei mitgeben dürftest, welche wären das – und warum?

Johannes Stillig: 1. Multi-Faktor-Authentifizierung (MFA) überall. Nahezu jeder Anbieter unterstützt das inzwischen. MFA stoppt einen Großteil der Angriffe, die über Phishing oder gestohlene Passwörter laufen. 2. Konsequentes Patch- und Update-Management. Für alle Geräte, nicht nur Windows. Es kostet nichts extra, muss aber gemanagt werden. In der Praxis gehen über 90 Prozent der gefundenen Schwachstellen darauf zurück, dass nicht die aktuelle Version installiert ist. 3. Die vorhandenen Security-Funktionen der Plattformen nutzen. Ob Microsoft 365 oder Google Workspace: Vieles ist bereits lizenziert, aber nicht aktiviert oder sauber konfiguriert. Bevor man teure Tools kauft, sollte man das, was man hat, sinnvoll ausreizen. Das braucht Zeit und kann mal frustrieren, ist aber oft der größte Hebel.

Antonia Bader: Im Vorgespräch hast du erzählt, dass viele Firmen viel Geld in Security-Tools stecken, aber gar nicht wissen, wie sie diese richtig nutzen. Woran liegt das?

Johannes Stillig: Ein Teil der Branche verkauft über Angst und Worst-Case-Szenarien. Dann landen Unternehmen bei einem weiteren Dashboard mit Ampelfarben – und sind von der Datenflut überfordert. Klassiker ist Vulnerability Management: Erster Scan, 10.000 Findings, niemand hat Lust weiterzumachen. Tools sind wichtig, aber sie ersetzen nicht die Arbeit. Man braucht Kapazität und Know-how, um Ergebnisse zu priorisieren und umzusetzen. Sicherheit lässt sich nicht kaufen, nur verbessern – und das erfordert Prozesse, Menschen und Zeit.

Antonia Bader: Wie gehst du vor, damit ein Tool sauber an den Start geht und im Team auch wirklich ankommt?

Johannes Stillig: Zuerst klare Ziele und Erfolgskriterien definieren, dann alle relevanten Stakeholder frühzeitig einbinden. Mit einem kleinen Pilotprojekt starten, um Use Cases zu validieren sowie Prozesse und Verantwortlichkeiten eindeutig festzulegen. Anschließend die Integration in bestehende Workflows sichern, Anwender:innen schulen und den Mehrwert regelmäßig überprüfen – nur so wird das Tool gelebte Praxis statt ein weiteres buntes Dashboard.

Antonia Bader: Ransomware ist eines der meistdiskutierten Themen. Was macht sie so gefährlich?

Johannes Stillig: Es gibt zwei Dimensionen: Erstens die Verschlüsselung selbst – plötzlich stehen Systeme still. Zweitens die Datenveröffentlichung durch die Gruppen, was wieder beim Reputationsschaden landet. Dagegen hilft ein Zusammenspiel aus Prävention und Resilienz:
1. User Awareness: Nicht auf jeden Link klicken, keine unbekannte Software installieren.
2. Patch-Management und Antivirus aktuell halten.
3. Backups, die funktionieren und geschützt sind.

Viele vergessen, die Backups selbst abzusichern. Angreifer suchen gezielt danach. Ohne Backups ist man schnell in einer schlechten Verhandlungsposition.

Antonia Bader: Prävention ist wichtig, aber kein System ist 100 Prozent sicher. Was sollte ein Unternehmen tun, wenn es tatsächlich zu einem Ransomware-Angriff kommt?

Johannes Stillig: Erst einmal Lagebild erstellen und Ruhe bewahren. Funktionieren die Backups, wurden sie getestet? Welche Daten sind betroffen, worauf hatten die Angreifer Zugriff? Das Thema „Zahlen oder nicht“ ist schwer pauschal zu beantworten. Wer zahlt, bekommt oft tatsächlich einen Decryptor oder die Zusage zur Löschung – sonst würde das „Geschäftsmodell“ nicht funktionieren. Eine Garantie gibt es trotzdem nicht. Wenn man Kontakt aufnimmt, sollte das über erfahrene Spezialist:innen laufen; es gibt Verhandlungsspielräume. Wichtig ist außerdem, Cyber-Versicherung und deren Bedingungen zu kennen.

Antonia Bader: Welche Bedingungen werden deiner Erfahrung nach am häufigsten übersehen?

Johannes Stillig: Oft übersehen Unternehmen dabei zentrale Punkte wie Mindestkontrollen z. B. MFA oder regelmäßige Backups, die für den Versicherungsschutz verpflichtend sind, Dokumentationspflichten zu Vorfällen und Präventionsmaßnahmen sowie enge Benachrichtigungsfristen, innerhalb derer ein Angriff gemeldet werden muss. Wer diese Anforderungen nicht erfüllt, riskiert im Ernstfall Einschränkungen oder den Verlust des Versicherungsschutzes.

Antonia Bader: Welche Schritte gehören für dich zur sauberen Recovery nach einem Angriff?

Johannes Stillig: Für die Wiederherstellung gilt: Nicht überhastet starten. Verstehen, wie der Erstzugriff gelang, kompromittierte Bereiche isolieren, beim Wiederaufbau Security an erste Stelle setzen. Und ja, „never waste a good crisis“ – oft ist das der Moment, strukturelle Investitionen und Prioritäten endlich sauber zu verankern.

Never waste a good crisis – jetzt strukturelle Investitionen und Prioritäten sauber verankern.
Johannes Stillig

Antonia Bader: Wenn du Gründer:innen oder CTOs einen einzigen Gedanken mitgeben könntest, was sollten mehr von ihnen über IT-Sicherheit verstehen?

Johannes Stillig: Prävention ist meist günstiger als Aufräumen. Der echte Schaden ist häufig nicht nur finanziell, sondern reputationsbezogen und der lässt sich schwer reparieren. In produzierenden Branchen kann man Ausfälle in Euro pro Stunde berechnen. In Software-Unternehmen ist das schwieriger, der Reputationsschaden dafür umso relevanter. Genau dort sollte die Priorität liegen.