Dirk Koch, Rechtsanwalt

Im Interview Dirk Koch

Risikobasierter Ansatz

Marc
Hallo und herzlich Willkommen hier auf meinem Schrägstrich auf unserem Kanal. Auch diese Woche haben wir wieder einen sehr spannenden Gast, auf den ich mich schon sehr freue. Wie immer bin ich allerdings allerdings an dieser Stelle latent unhöflich und begrüße erst einmal aufs Allerherzlichste hier meinen lieben Mitstreiter. Hallo Michael, Wie geht es dir?

Michael
Ja, sehr gut. Danke Hallo Marc, Hallo Dirk. Die Kombination aus Rechtsanwalt und Hacker hatten wir in unserer Interviewreihe bisher so noch nicht. Unser heutiger Gast ist aber genau das in Personalunion als Partner der Kanzlei Bydler in Frankfurt am Main beschäftigt er sich schwerpunktmäßig mit den Bereichen IT, Sicherheit und Datenschutz. Seine Qualifikation als Certified Artical Hacker und als zertifizierter Datenschutzexperte hilft dabei natürlich irgendwie. Wir skizzieren jetzt mit ihm gemeinsam mal seinen Werdegang und schauen uns ein paar Stationen darauf dann an und. Herzlich Willkommen, Dirk Koch.

Dirk
Hallo ihr beiden, danke, dass ich dabei sein darf. Ich freue mich.

Marc
Ja, schön, dass du dir hier die Zeit für uns heute nimmst. Und wir wollen ja immer mal so ein bisschen in die Vita von den Personen reingehen, die uns hier, mit denen wir ein Interview führen dürfen, so auch mit dir. Irgendwann hattest du mal einen Schulabschluss und dann wusstest du natürlich schon, dass du mal ein Jurist werden willst, der sich mit IT Sicherheit beschäftigt, oder wie war das in deinem Fall?

Dirk
Na ja, eigentlich war das ganz anders. Ich hatte irgendwann einen Schulabschluss, das ist richtig, würde jetzt aber auch nicht behaupten, dass ich der Mensch war, der sich immer am fleißigsten in der Schule angestellt hat und immer mit den ersten besten Noten dabei war. Und als ich mein Abitur gemacht habe, war eigentlich für mich selbst relativ unklar, was ich machen will. Und ich wollte eigentlich relativ offen aufgestellt sein und haben gesagt, naja, was willst du denn später mal machen und was hat so mit deinen Erfahrungen zu tun? Und ich hatte 2 Punkte auf meiner Liste stehen, das war einmal Physik und das war einmal Jura und am Ende des Tages natürlich, wenn man sich heute in einem Physikstudium bewirbt, da wird man sofort angenommen, da gibt es keine Wartelisten, da gibt es nicht. Da ist man am ersten Tag sofort dabei. An der Stelle. Also hatte ich auch meine Annahme dafür und ich hab mich für Jura in Frankfurt beworben und ich komm aus der Frankfurter Gegend, ich wollte hier bleiben. Na ja, guckst du mal ob es klappt ne so und irgendwann Mitte Oktober kam dann auch für Jura im Nachrückerverfahren die Bestätigung die gesagt hat, das kannst du machen und mein Ziel war es eigentlich immer einen Abschluss zu haben, einen Hochschulabschluss zu haben, mit dem man möglichst viel machen kann und ich war mir immer darüber im Klaren, dass Physiker gerne genommen worden wären, egal ob das eine Bank, eine Beratung oder sonst was gewesen wäre und vor allem auch im IT Sektor eben doch oft vertreten sind. Aber Juristen eben auch so. Und am Ende des Tages war Juristerei ein bisschen spannender für mich. Ich wusste ehrlicherweise absolut nicht, auf was ich mich einlasse, als ich dorthin gekommen bin und habe das dann eigentlich auch erst so on The Fly rausgefunden, war dann aber spannend und ehrlicherweise auf dem Rückblick von heute gesehen absolut die richtige Entscheidung, weil es ein für das, was ich heute tue, genial ist und es einfach sehr, sehr gut funktioniert.

Marc
Okay jetzt hast du dein Jurastudium begonnen. Du bist aber ja heute auch zertifizierter Hacker, ethischer Hacker und. Warst du denn damals auch schon so wahnsinnig IT affin oder kam das erst dann später?

Dirk
Nein, die IT war immer oder beziehungsweise it affin auf jeden Fall. Ich habe glaube ich mit 1011 Jahren meine Eltern das erste Mal überredet, dass ich einen Computer bekomme und als wir Computer bekommen haben, war das ja nicht wie heute, wo man den Computer einschaltet, sich ins WLAN einbucht und es funktioniert und. Sondern das hatte was damit zu tun, unser erstes Netzwerk zu Hause war ein Koaxialkabel, da mussten Treiber installiert werden, die mussten miteinander Verständnis aufgebaut haben, damit sie miteinander reden konnten, das mussten die richtigen Protokolle sein, das war alles ja viel, viel tiefergehend und schwieriger und für jemanden, der zum damaligen Zeitpunkt nur halbenglisch konnte und sich das alles anlernen musste, war das natürlich viel ausprobiererei und oft wochenlanges arbeiten, bevor überhaupt irgendwas funktioniert hat und. An den Stellen und so bin ich halt dazu gekommen. Die Technikbegeisterung war halt früh da und ich habe damit angefangen. Dazu kam, dass ich in einem Freundeskreis war, der da sehr affin unterwegs war, ich vielleicht was das ein oder andere Jahr für später noch macht, ich in der Feuerwehr unterwegs war, da mit Jungs zusammen angefangen habe, auch ein bisschen was zu programmieren, da heute eine Softwarefirma draus geworden ist, die es auch bis heute noch gibt an den Stellen. Und dann irgendwie die Affinität dazu kam und nicht ganz unwesentlich dabei war. Auch ich hatte einen kleinen Bruder, der hat einen Raum weitergelebt, der hatte auch einen Computer und ehrlicherweise, ich wollte immer wissen, was der so getrieben hat und damals, ich glaube, die ersten Viren hießen Subseven und Trojaner, die man so benutzen konnte und dann war die Affinität natürlich geboren und das hat mich immer ein bisschen festgehalten.

Michael
Aber Entschuldigung, das dazwischen grätschen klar. Also wenn ich wenn ich das höre Jura auf der einen Seite und Physik auf der anderen Seite gegensätzlicher können glaub ich so Studiengänge gar nicht sein, weiß ich nicht, aber warst du denn nur mal interessanter? Warst du mal einfach mal kurz gucken in der Physikvorlesung hast du gesehen was du quasi verpasst hast?

Dirk
Also ich habe gesehen, was ich verpasst habe, weil ich Freunde und Bekannte habe, die diesen Weg eingeschlagen sind. Am Ende des Tages. Ich glaube, am Ende, und das ist auch das, was heute mein Feld ja durchaus bewandert, dass der IT ler oder Physiker und der Jurist gar nicht so weit weg voneinander sind, denn eigentlich sind beide Arbeitsweisen sehr schematisch. Und auch der Programmierer, der Programmierer geht das in IF LS schleifen durch und der Jurist macht eigentlich genau dasselbe, das Prüfungschema objektiver Tatbestand, subjektiver Tatbestand, die einzelnen Prüfungspunkte unten drunter ist am Ende des Tages jedenfalls in meinem Verständnis nicht viel anders, als dass auch ein Computerprogramm in seiner Programmierung durchlaufen würde, und das heißt, die Gedankenwelt von beiden, die sehr schematisch, sehr verschachtelt, sehr in Prozessen denken, ist am Ende sehr, sehr gleich gelagert und. Und das hat mir persönlich schon immer gelegen und das ist, glaube ich, auch ein Weg, wie ich mir viele Sachen herleite. Von daher glaube ich, dass die am Ende gar nicht so weit auseinander wären. Ich bin ganz froh, dass ich nicht mit Buchstaben rechnen muss, ich bin auch ganz froh, dass ich nicht insgesamt so viel rechnen muss, denn da stimmen die alten Sprichwörter wieder, aber ja.

Michael
Okay ich frag das deswegen, ich habe das auch schon mal hier in der Reihe erzählt. Ich hatte mal mit dem Laienlicht mit dem Gedanken gespielt, Mathematik zu studieren und war mit einem Freund, der letztlich Physik studiert hat, dann auch in so einer Mathe Vorlesung und ich hatte bis zu dem Zeitpunkt hatte ich gedacht, ich habe eigentlich ein ganz gutes Verständnis für Mathe von der Schule her und Sitze in dieser Vorlesung und habe nichts verstanden, gar nichts gut, ja und das also man merkte schon, das ist ein deutlicher Unterschied von dem was du auf der Schule in dem Fach hörst und und was du auf der Uni hörst und was da vorausgesetzt wird. Ich tippe mal, dass das bei Physik ähnlich gelaufen wäre insgesamt, sodass dann viele wahrscheinlich überrascht sind, die sagen, auf der Schule war ich super in Physik und dann kommen auf die Uni und sagt, das ist ja noch mal ein ganz anderes Level hier, aber du scheinst ja unterm Strich dann jetzt rückblickend sehr zufrieden mit deiner Wahl gewesen zu sein und kannst vermutlich dann auch mehr. Beruflich die Schwerpunkte legen jetzt durch. Dadurch, dass du diesen Studiengang eben gewählt hast, wie du ihn gewählt hast, als wenn es vielleicht Physik gewesen wäre, dann wäre es vielleicht etwas technischer und weniger weniger die Juristerei.

Dirk
Also das ist, das ist definitiv richtig was bei mir aber zusammengekommen ist und das, was ich ja eben schon erwähnt habe, ich bin mit 10 Jahren in der Feuerwehr groß geworden, also ich bin in die Jugendfeuerwehr eingetreten, ich bin bis 1617 in dieser Jugendfeuerwehr gewesen, ich bin in die Einsatzabteilung übergegangen, ich bin mit 30 und. Stadtbrandinspektor oder Stellvertreter? Stadtbrandinspektor meiner Feuerwehr geworden, das heißt, ich habe eine leite bis heute auch noch eine Feuerwehr als Stellvertreter hier im Rhein Main Gebiet, die relativ einsatzstark ist. Das heißt, ein großer Teil meines Lebens von Früh an war Krisenmanagement, und um dieses Krisenmanagement von Früh an zu verbessern, habe ich mich mit ein paar Kumpels damals zusammengetan und wir haben Software geschrieben, wir haben Software geschrieben, die heute eine Cloud Lösung ist und. Die eben Einsatzalarmierungen Einsatzvisualisierungen für Feuerwehren darstellt, Rettungsdienst, THW etc. So, das war sozusagen. Dann kam die IT Komponente automatisch rein. Wir mussten uns überlegen, wie funktioniert das, wie kriegen wir Server zum Laufen, wie machen wir das, Cloud basiert 2016 als die meisten noch nicht Cloud orientiert gelebt haben an der Stelle, wie sichern wir das ordentlich ab so und dann kam auf einmal der dritte Part dazu und das ist eigentlich erst. Nach meinem Jurastudium 1 geworden, weil ich eigentlich nach meinem Jurastudium, nach meinem Examen oder nach dem zweiten Examen dann auch da saß. Und ich hatte Gott sei dank, ich hatte schon quasi meine ersten Mandanten, ich hatte Leute, die mich schon damals um Rat gefragt haben, wie mache ich das denn am Schlauesten, technisch und juristisch so, das konnte ich, danach, konnte ich danach zusammenfügen, aber dass das wirklich ein Bild gibt, also das Krisenmanagement zusammen mit it Sachverstand, also zu verstehen, was tut so ein Router, was tut so eine Firewall und was ist ein Fallserver am Ende des Tages also. Und das Ganze dann auch noch mit Jura zusammenzubringen, dass das eine eine super relevante Gruppierung an Wissen ist, das hat bei mir auch eine ganze Weile gebraucht, bis das erst bewusst geworden ist. Und bis ich das verstanden habe. Und dann ist auch erst der der Assical Hacker dazu gekommen.

Marc
Okay gehen wir mal mal ein bisschen zurück. Es geht mir alles ein bisschen ein bisschen schnell an der Stelle. Du bist jetzt in deinem Studium drin und ich glaube auch, wenn jetzt Jura dir am Ende am Ende sehr gelegen hat. Fiel dir das Jurastudium als solches leicht oder musstest du da echt beißen?

Dirk
Das ist auch nicht ganz einfach zu sagen. Was fiel mir immer schwierig, ich war nie der Mensch, der auswendig lernen konnte. Und es gibt viele unglaublich gute Juristen, die auch viel unglaublich gut auswendig lernen konnten. Und wenn man den Meinungsstreit aus 12 verschiedenen Sichten darstellen kann, weil man alle 12 auswendig gelernt hat, dann ist das meistens auch ein sehr punkterelevantes Spiel, der Typ.

Marc
War nicht punktterelevant.

Dirk
Genau. Klausur, Punktterelevant und das, das ist immer ein Typ Mensch gewesen, der war ich nicht. Ich habe verstanden oder ich wollte verstehen, wie hängt das alles zusammen, warum funktioniert das und. Dann hat man eine andere Art von Wissen in Jura. Wenn man nämlich sich überlegt, warum das Ganze zusammenhängt, dann kann man sich die verschiedenen Meinungen meistens sehr schnell selber ausbilden, weil man halt weiß okay das eine gibt, es gibt das Lager und es gibt das Lager und es wird wahrscheinlich die beiden Meinungen geben und damit habe ich immer geantwortet, das war nicht immer das beste Punkteergebnis was man danach rausholen konnte, weil man natürlich 23 Meinungen vielleicht gefehlt haben, weil man sie eben nicht auswendig gelernt hatte, aber. Aber auch da aus der Nachsicht heraus. Ich glaube, ich habe vieles insgesamt verstanden, wie es funktioniert und das hat mir sehr weitergeholfen. War das immer einfach? Nee, natürlich nicht, weil mit dem Ansatz, also meine Lehrer haben gesagt, ich bin faul, ich habe gesagt, ich bin Effizienzbasiert am Ende des Tages, und offensichtlich habe ich das auch alles geschafft und ich bin auch überall durchgekommen. Aber natürlich gab es das eine oder andere Mal zittern dazwischen. Das war auch beißend im Sinne von, dass man einfach gesagt hat, warum verstehe ich das nicht, aber warum versteht man die Gesamtlösung so, das heißt, ein Jurastudium war für mich nicht einfach an der Stelle, aber es war jetzt auch nicht so, dass es unglaublich schwierig war, sondern ich glaube, ich habe die Hürden ganz gut gemeistert und bin da immer durchgekommen, aber. Auch da gehörte halt dazu. Mein Fokus war halt auch immer, ich habe mein Jurastudium gemacht, aber ich habe halt nebenbei auch irgendwie Software programmiert und ich habe halt irgendwie nebenbei auch noch ein Feuerwehrleben geschmissen und das war immer so, das war halt auch nicht und das war mir aber auch immer wichtig, ich habe nicht irgendwo meine gesamte Lebensenergie reingesteckt, sondern ich hatte immer ganz gute Ausgleiche Nebendran und ich glaube auch nicht, dass ich ein Jurastudium geschafft hätte, wenn ich mich nur auf Jura konzentriert hätte.

Marc
OK, jetzt hattest du dein erstes Staatsexamen. Irgendwann hattest du da noch ne längere Pause bis zu deinem zweiten Staatsexamen oder hast du das dann mehr oder weniger nonchalant ineinander übergehen lassen?

Dirk
Nein, das ging eigentlich relativ flott untereinander über. Dazu muss man sagen, der Prozess, wie er hier in Frankfurt jedenfalls gelaufen ist, war so, man hat einen staatlichen Teil und man hat einen universitären Teil, und dass die beide absolut im identischen Zeitraum gleich fertig sind, ist meistens unwahrscheinlich, das war auch bei mir nicht so, ich hatte den staatlichen Teil irgendwo, aber der universitäre Teil war noch offen, dann hat das immer natürlich noch ein halbes Jahr oder ein dreiviertel Jahr gedauert, und dann hatten wir noch mal Semesterferien und dann kann man die Semesterferien auch noch mal für ein Praktikum nutzen, zum Beispiel, was ich immer ganz gerne gemacht habe und. Meine Praktika zum Beispiel waren eigentlich nie juristisch, sondern meistens eher Krisenmanagement orientiert. Ich war viel am Flughafen unterwegs, habe viel bei einer großen Airline hier gelernt, im Bereich der Sicherheit, ich habe viel am Flughafen Sicherheitsmanagement gelernt, ich war bei Feuerwehren, ich war bei Krisenstäben und in diesen Geschichten immer viel unterwegs, was mir halt wichtig war und was ehrlicherweise auch mein Interessengebiet war zwischendrin und wenn ich Zeiträume hatte zwischen meinem Studium oder in meinem Studium, wo Leerlauf war, dann habe ich die meistens. Wenn ich nicht eigene Projekte hatte, mit solchen Dingen unterstützt.

Marc
Okay jetzt hattest du irgendwann dein zweites Staatsexamen in der Tasche in der Hand. Jetzt steht einem ja, wie man es immer so schön sagt, die ganze Welt offen. Wie ging es denn dann weiter mit dem zweiten Staatsexamen in der Hand?

Dirk
Ah ja, ehrlicherweise. Ich war Anfang Januar fertig und mein ganz fester Weg war eigentlich, mich in größeren Konzernen zu bewerben und eigentlich schon was mit IT Sicherheit zu machen. Also IT, Sicherheit, Datenschutz in die Richtung was zu machen und sich da juristisch zu bewerben, das hatte ich eigentlich auch vor, sagen wir mal 23 Bewerbungen habe ich vielleicht auch losgeschickt, aber zeitgleich sind mir eigentlich ein paar positive Umstände sozusagen ins Leben gekommen, das heißt, ich hatte auf einmal mit Leuten, die ich einfach über Gespräche auch kennengelernt hatte, Kontakt, die in größeren Unternehmen waren und die Compliance Ermittlungen gemacht haben. Und Compliance Ermittlungen waren in den meisten Fällen ja Dinge, die irgendwie datentechnisch passiert sind. Das heißt, man musste Computer durchsuchen, die Frage, da darf ich die überhaupt durchsuchen, was ist mit internen Richtlinien, was hab ich in Mitarbeitervereinbarungen in meinen. Leuten geschrieben. Was kann ich überhaupt technisch rausfinden, was gibt es noch an Spuren zu finden? Und diese Fragen, und da hatte ich einen Mandanten, der mir von Anfang an beigestanden hat und wo ich mich dann eigentlich gesagt habe, warum machst du dich nicht selbstständig, warum fängst du nicht an, warum machst du nicht das, was eigentlich für Juristen in der Art, jedenfalls in dem Feld ungewöhnlich ist und machst dich einfach sofort selbstständig und man hat gesagt okay, dann meldest du deine Kanzlei an, habe dann ein bisschen Unterschlupf gefunden, hatte Räume dafür und habe gesagt, naja, mit dem Mandanten kann ich auf jeden Fall 0 auf 0 rauskommen und dann? Damit arbeite ich jetzt und jetzt guckst du mal, wer noch kommt. Und das hat erstaunlicherweise sehr, sehr gut funktioniert und die ersten Jahre habe ich genauso gearbeitet, bis wir letztes Jahr Bike Law gegründet haben und dann eben ein bisschen größer geworden.

Marc
Sind okay. Jetzt hast du deinen ersten Mandanten oder vielleicht auch noch mehr als einen Mandanten, aber das heißt, du hast es irgendwie so. Hast du es einfach mal drauf ankommen lassen, weil du mit deinem ersten Einkommen so viel Einkommen hattest, dass deine Ausgaben gedeckt werden? So simplifiziere ich das jetzt mal. Wenn ich das so richtig verstanden habe und jetzt kamen irgendwie noch 23 andere 457, 1012, andere Mandanten dazu, was waren das denn für man? Also jetzt natürlich nicht den Namen, aber aus welchem Bereich kamen denn diese Mandanten, was wollten die denn von dir so?

Dirk
Also am Anfang kann man ja natürlich nicht so richtig wählerisch sein, weil ehrlicherweise will man erst mal genug in der Kasse haben, um auch zu überleben. Das ist auch völlig richtig so, das heißt, die Mandanten waren natürlich gemischt, aber es hat sich schon raus fokussiert, dass ich mehr im unternehmensberatenden Umfeld unterwegs war, als dass ich das für den klassischen privat für klassische Privatpersonen bin, das ist auch heute noch so, wobei man natürlich sagen muss, was mir immer am Herzen gelegen hat und was mir auch wichtig ist. Ist zum Beispiel Betrugsopfern zu helfen? So, und ich hatte von Anfang an, weil natürlich wenn man das gegoogelt hat, auch unter sozusagen schon meinen alten Einträgen IT, Sicherheit und Rechtsanwalt und IT Sicherheit und Rechtsanwalt, da ist die Auswahl jetzt nicht ganz so groß so und wenn man dann Fälle betreut hat, die eben was mit Stalking zu tun hat, weil es über viele technische Punkte geht. Weil man eben bei Banking Force nachvollziehen konnte, wie die Angreifer gearbeitet haben und halt in einer besseren Position, war das einem Richter oder aber auch zum Beispiel schon alleine der Bank zu erklären, um dann eben in die richtige Folgerung da rauszukommen und eben noch mal Schadensersatz zu bekommen oder eben einen Teil des Schadens widersetzt zu bekommen. Das war mir sehr wichtig, das ist mir bis heute sehr wichtig, weil ich auch glaube, dass da viele nichts für oder nur beschränkt was dafür können, dass sie eben auf sehr professionelle Betrüger reinfallen. Wenn man, wenn man da technischen Sachverstand hat, kann man viele Spuren finden, kann man der Polizei helfen, kann man da Hand in Hand arbeiten und das hat mir Spaß gemacht, von daher hatte ich beide Arten von Kunden und Mandanten sehr, sehr früh, aber natürlich lag der Fokus immer daran, auch Unternehmen dabei zu helfen, wie man eben entsprechend so etwas absichern kann.

Marc
Da musst du mal eine Sache noch mal. Jetzt sagst du, jetzt hattest du diesen technischen Sachverstand. Aber wie stelle ich mir das jetzt beim also ich? Ich denke jetzt mal so ein bisschen stereotypartig, da gibt es jetzt irgendwie einen Mandanten, der sagt, kommen sie zu mir, dann trifft man sich mit denen in einem Besprechungsraum und dann ist mal da der Jurist in Anzug und Krawatte, und jetzt sagt man, jetzt gib mir mal eure it, gib mir mal eine Tastatur, ich will das mal selber nachgucken, wie hat das funktioniert oder also hast du dann wirklich selber dann Hand an den Code angelegt oder wie lief das dann wirklich ab und?

Dirk
Eigentlich nicht. Also, dass ich versuche, das auch bis heute zu vermeiden. Es gibt Situationen und ein paar meiner Mandanten werden das auch erzählen, wie ich mitten in der Nacht irgendwann selber vor dem Rechner saß, an der Stelle, aber das ist, das ist eigentlich selten viel, viel wichtiger ist, dass man versteht, was die andere Seite macht und was die andere Seite von einem von einem Wissen will am Ende, und dazu muss man sich klassischerweise in einem Unternehmen vorstellen, der Geschäftsführer oder Jurist. Meistens oft in einer Person und der Leiter der der der Unternehmens IT sind grundsätzlich Menschen, die im normalen Handeln nicht viel miteinander zu tun haben. Der eine braucht den anderen, damit es funktioniert, aber das sind nicht die Menschen, die jeden Tag auf dem Gang miteinander reden, die Verschmeißen sich auch öffentlich auch immer nicht so richtig, der Mensch, mit dem die Leute dauernd reden wollen an den Stellen, aber das ist, das führt zu einem gewissen Spannungsverhältnis, obwohl wie wir eben ja schon mal festgestellt haben, die eigentlich recht gleich denkend sind am Ende des Tages und. Und das braucht ein Übersetzer. Das braucht jemanden, der am Ende dazwischen sitzt und beiden Seiten erklärt, warum sie das jetzt von einem wollen und auf welchem technischen Weg man das lösen könnte. Und das war so ein bisschen eigentlich immer meine Position und natürlich hilft es dafür dem IT ler auch beweisen zu können, dass man weiß, wovon man redet, das heißt, indem man ihm am Ende des Tages in der keine Ahnung Microsoft Konsole sagt, Wo zur Hölle ist das eigentlich gerade diese Einstellung, die er nicht gefunden hat, in welchem Protokoll kann ich was finden. Und gleichzeitig dem dem Juristen aber auch das Verständnis zu geben, dass man sein Ziel gerade verstanden hat. Jetzt aber 10 Minuten braucht, um das dem IT ler in der richtigen Art und Weise zu erklären. Und das, das war immer sozusagen das Bindeglied, und dafür war der technische Sachverstand notwendig und ehrlicherweise, dafür war es am Ende des Tages auch notwendig, eben so eine Zertifikation zu machen, weil der Jurist kann ja viel erklären, und ich kann den Leuten viel erzählen, dass ich Ahnung davon habe, wie ein Computer funktioniert, ich brauchte was auf dem Papier steht.

Michael
Ja, das ist hierzulande so. Ja, jetzt habe ich bei linkedin gesehen, wie ich das richtig gesehen habe, dann die Zeit, wo du dich selbstständig gemacht hast. Am Anfang war so April 2017 so, das heißt, wir sprechen ja noch von einer Zeit, wo die DSGVO zwar schon in Kraft auch noch nicht anwendbar war, wo viele noch gesagt haben, ja, ja, betrifft mich nicht, und die dann kurz vor 12 quasi auf die Idee gekommen sind. So Ende Mai. 2018 betrifft mich ja wohl und hast du vielleicht auch die Erfahrung gemacht? Wie sah denn so die die thematische Durchmischung deiner Mandate aus? Also war es wirklich viel Datenschutz, war es viel IT Sicherheit oder war es ein bisschen von beidem? Womit kamen die Leute zu dir, weil mein Gefühl war, zu der Zeit war noch nicht so wahnsinnig viel mit Datenschutz, da fing das erst so langsam an. In die Köpfe der Leute zu kommen und It Sicherheit, na klar hatte man technische Probleme, aber damit rennt man ja nicht zuerst zum Anwalt, sondern erst wenn es bestimmte Problemstellungen gibt, sozusagen. Also wie sah dein Schreibtisch da thematisch aus zu der Zeit?

Dirk
Also natürlich war das sehr datenschutzlastig, denn natürlich 2017 Ende oder Mitte, Ende 2017, Anfang 2018 war. Die Angst vor DSGVOGDPR war komplett da und das ist, das muss man auch sagen, und natürlich hat sozusagen diese Welle mir vielleicht auch ein bisschen geholfen, wobei mir immer ganz wichtig war, bis heute ein Beratungsansatz an der Stelle, ihr müsst Datenschutz. Am Ende des Tages in Haus grob verstanden haben und wenn ihr Probleme in der Umsetzung habt zum Beispiel, und das war insbesondere das Feld, an dem ich sehr viel aktiv war, wenn es um die Toms geht, also technisch organisatorische Maßnahmen, wie setze ich eine Lösung oder wie, wie setze ich meine Datenschutz? Vorgaben, die ich im Unternehmen getroffen habe. Am Ende um finde ich dafür meiner Meinung nach erstlinig technische Lösungen, das heißt, der Mensch muss gar nichts tun, sondern es wird automatisch am richtigen Weg passieren oder findet das Unternehmen danach eine organisatorische Lösung, das heißt, wir bringen Mitarbeitern bei, wie sie damit umzugehen haben, so, und ich war immer ein großer Freund davon, möglichst viel technisch zu machen, das heißt, da, wo ich dem Unternehmen helfen konnte, das technisch zu machen, habe ich das versucht, auch irgendwie einzuführen, und da genau war das Feld, wo viele andere. Von den Datenschützern aufgehört haben, weil sie eben natürlich verstanden haben, was rechtlich notwendig war, aber eben nicht wussten, mit welcher Art von Software, mit Lösungen, mit vielleicht auch strukturaufbauten sie das Problem einfacher. Sozusagen in den Griff bekommen konnten, und das war immer der Weg, an dem ich dann gearbeitet habe, und das war am Ende des Tages auch das, was schwerpunktmäßig auf meinem Schreibtisch lag, war nämlich die Frage, ist diese technische Lösung dazu geeignet, das zu machen, oder ist diese technische Lösung vielleicht sogar datenschutztechnisch gesehen gefährlich am Ende des Tages für mein Unternehmen und birgt es Gefahren, die eben eine Datenschutzfolge abschätzen oder Ähnliches benötigen?

Marc
Okay ja gut, das ist ja so ein häufiges Thema da draußen, das. Juristen manchmal technische Wünsche an die IT Abteilung haben, wo die IT Abteilung sagt Ja ist ein toller Wunsch aber das funktioniert einfach vorne und hinten nicht so. Stichwort Löschkonzept zum Beispiel bei dem ein oder anderen Softwareanbieter alles was damit zu tun hat. Jetzt hat man dich da jetzt quasi als als Spezialisten, jetzt gehen wir mal kurz ins hier und heute ins jetzt. Was hast du denn heute so überwiegend für Mandata auf deinem Tisch liegen oder für Tätigkeiten auf deinem Tisch liegen?

Dirk
Ich habe ja den großen Vorteil, dass ich heute mit meinen beiden Kollegen, die du ja im Hintergrund gerade auch Anzeigst, in einer Kanzlei zusammen bin und wir noch Associates haben, die uns dabei ein bisschen unterstützen. Das heißt, ich kann mich heute schon darauf fokussieren, was ich wirklich im Schwerpunkt auch gerne durchführe, und das ist Krisenmanagement, das heißt meine. Die meisten meiner Mandate kommen sehr ad hoc, meistens ohne Ankündigung. Das heißt, es ruft jemand an und sagt mir, ich sitze in der Firma und hier funktioniert nichts mehr, ich sitze in der Firma, die ist meistens hundertprozentig Ransomware verschlüsselt oder ich habe, ich sitze in einer Firma und meine Kalkulationstabellen sind immer schon 2 Tage vor meiner Angebotsabgabe leider beim Konkurrenten oder ich. Ja, alle Fälle, die sozusagen in dieser Art und Weise fallen und insbesondere das, was so nach Ransomware angriffen passiert, ist im Moment die letzten 2 Jahre ein deutlicher Schwerpunkt gewesen. Wir haben ein 2 Fälle im Monat gemacht, wo wir wirklich in Unternehmen eingegangen sind, die gerade am Boden sind und die wieder aufgebaut werden und da fahre ich einen anderen Ansatz, als dass viele andere, glaube ich, Kollegen auch tun, wir beraten relativ umfassend in der Wiederherstellung, das heißt, wir nehmen uns den Geschäftsführer, den Vorstand an die Hand und beraten ihn bei. Bei dem Wiederaufbau seines Unternehmens, und zwar von vorne bis hinten. Das heißt, wir überlegen uns, welche Dienstleister sind die Richtigen, die hier technisch gebraucht werden, was kann meine eigene it, was für Backup Strukturen habe ich, was sind meine Prioritäten im Wiederaufbau, wie muss ich arbeiten, wie verhalte ich mich strafrechtlich richtig, wie verhalte ich mich gegenüber meinen Eigentümern richtig, gegenüber meinen Mitarbeitern, gegenüber meinen Partnern, Kunden, Lieferanten, und das Macht. Aktuell wirklich 90% meiner Mandatsarbeit quasi aus und gar nicht mehr nur unbedingt die erste heiße Phase, die so eine Woche dauert. In den meisten Unternehmen, sondern auch mittlerweile recht lang lebe ich danach, weil halt immer mehr Probleme sich daraus ergeben, wenn so eine It mal kompromittiert war, das heißt vertrauen mir meine Kunden noch vertrauen mir meine Lieferanten noch, was muss ich eigentlich tun um dieses Vertrauen wieder herzustellen, habe ich vielleicht sogar vertragliche Pflichten? Also da gibt es einen ganzen Rattenschwanz an Maßnahmen, der sich daraus entzieht. Aber das ist wirklich der Schwerpunkt. Das, was wir gerne, was ich auch gerne bearbeite und das wiederum das, was ich euch eben erzählt habe, so ein Feuerwehr Krisenstab ist am Ende nichts anderes vom technischen Aufbau her, wie das auch ein Krisenstab in der Cyberkrise ist, kommt alles zusammen.

Marc
Das bedeutet, dich ruft man aber an der Stelle wirklich primär. Ich habe sie formuliert, wenn das Kind in den Brunnen gefallen ist. Du bist ja jetzt quasi der Elder, der Feuerwehrmann, der Feuerwehrmann, der dann wirklich dorthin kommt und dann dort tätig ist. Gibt es auch mal Unternehmen, also wäre ja vielleicht auch eine Idee, dich zu rufen, beratend, bevor was passiert ist, um mal zu gucken, funktionieren unsere Notfallpläne, weil eine Feuerwehr kann ja auch Notfallpläne mal überprüfen oder mal eine Brandschutzübung machen.

Dirk
Das gibt’s auch, muss man aber sagen, ist leider einfach auch noch die geringere Zahl. Das liegt aber auch daran, wie Unternehmen sich in diesem Bereich aufstellen. Es gibt Unternehmen, die machen das, es gibt Unternehmen, mit denen wir auch. Dauerhafte Mandatsbeziehungen haben die wir regelmäßig, sozusagen monatlich, Quartalsmäßig mit verschiedenen Bereichen reden, die darauf vorbereiten und sagen, was würdet ihr eigentlich machen, habt ihr das? Bereitet euch darauf vor, diese Dinge eben auch strukturiert durchzugehen, ist aber leider der kleinere Teil, aber zum Beispiel, was wir natürlich. Auch gerne unterstützen und das Mitarbeiten. Auch meine beiden Kollegen, zum Beispiel Frau Stepanova, die dann in der in der Art und Weise Governance aufbaut in Unternehmen, das heißt guckt, dass sie ISO fähig werden, die AO confinen werden et cetera, das den Bereich bilden wir mit ab. Ich wünschte mir, es wären mehr, die frühzeitig darüber Anfragen, aber am Ende des Tages, so hart es klingt, die meisten Leute sehen das Problem erst, wenn das Kind in den Brunnen gefallen ist. Und das muss man ja wirklich auch sagen. Bei vielen, wo das Kind in den Brunnen gefallen ist. Sind das durchaus Gaps, die man vorher gesehen hat oder mit die man hätte sehen können, ohne da jemanden falsch darstellen zu wollen. Aber ich glaube, die Beteiligten wissen das auch an der jeweiligen Stelle. Es gibt immer Bereiche, in denen man besser sein könnte und bei denen waren es halt manchmal zu viele Bereiche, in denen man es nicht.

Michael
War ja, das ist auch.

Marc
Also so. Nee, ja, ich wollte nur kurz sagen, ja, das ist auch ganz klar meine Beobachtung, also wenn man sich so den IT Sicherheitsbereich anschaut. Dann wird das manchmal auch in den journalistischen Blättern so dargestellt, als wenn das eine Naturkatastrophe wäre, die man nicht vorherahnen konnte, von der man nichts wissen konnte. Dass die passierte und sowas und bei näherer Betrachtung ist das aber nicht so, das ist zumindest meine Einschätzung.

Dirk
Dazu die Naturkatastrophe ist es halt trotzdem.

Marc
Für das Unternehmen ist der Schaden verwüsten bis zum bis zum Insolvenzrisiko und so weiter und sofort aber. Man kann sich schon deutlich besser davor schützen als vor einem Sturm, der vor Florida steht und jetzt auf einmal kommt.

Dirk
Ja, das Haus von Florida weiß auch, dass irgendwann das Wasser kommt. Und sie akzeptieren es trotzdem und bauen das Haus an der Stelle wieder auf. Also das ist, es ist immer eine Frage der Abwägung, aber es ist halt auch eine Frage, und das ist durchaus eine spannende Frage, die ich auch gerne diskutiere mit auch den Betroffenen danach, ist ja eine Frage des Risikoappetits am Ende des Tages, ich muss entscheiden, in welche Lücken ich stopfe und welche Lücken ich offenen Augen entgegengucke und manchmal ist ist die Verteilung auch einfach so. Deswegen ich bin auch, wie gesagt, ich bin im Krisenmanagement tätig, da sucht man nicht nach den Lücken und da sucht man auch in dem Moment definitiv nicht nach Fehlern oder sozusagen nach Schuldigen, sondern das ist ein anderer Aufbau und das darf man auch gar nicht, das verbietet sich an der Stelle in dem ersten Welt gut darüber zu reden, an der Stelle aber natürlich, wenn wir heute sehen, wie Cyberangriffe funktionieren und dass Cyberangriffe im Großteil durch entweder technische Lücken oder menschliche Schwachstellen entstehen, dann gibt das ein klares Zeichen und jedenfalls gegen die technischen Lücken kann man was tun.

Michael
Definitiv, aber da sagst du schon einen einen richtigen Begriff risikorisikomanagement wenn ich sehe, du hast schon eben erzählt, du hast dich relativ in jungen Jahren schon bei der Feuerwehr engagiert, du hast das heute noch Krisenmanagement und mit Blick auf die. Auf die Entwicklungen neuerer Rechtsakte, also beginnend bei der DSGVO über die KI Verordnung nis 2 und so weiter haben wir fast durchgängig immer genau einen Aspekt, der alle vereint. Sozusagen. Das ist der risikobasierte Ansatz, konntest du quasi damals schon ahnen, dass das total sinnvoll ist, was du da mit jungen Jahren in der Feuerwehr machst oder nicht vielleicht nicht mehr ganz so jungen Jahren und. Dass dir das bei deiner beruflichen Tätigkeit später mal so stark quasi zum Pass kommen würde, wahrscheinlich nicht.

Dirk
Wahrscheinlich Nein. Also das wäre alles, was ich jetzt sagen würde, wäre gelogen an der Stelle, weil das natürlich, glaube ich, keiner voraussehen konnte. Ich glaube, die meisten Unternehmen haben bis heute noch nicht verstanden, was risikobasierte Regulierung ist, wie die EU das im Moment sehr vermehrt ja tut. An den Stellen und dass ich das vorausgesehen hätte, glaube ich nicht. Ich glaube, das hat einfach was mit, ich sag mal, normalen menschlichen Abwägungen zu tun. Man muss immer wissen, wie weit man bereit ist, Risiken einzugehen, und man muss immer wissen, wie weit man Entscheidungen eingeht aus der gesetzlichen Regulationssicht aktuell. Ich halte das Konzept für relativ genial. Die Art und Weise, wie jetzt Gesetze geschrieben werden und dass man mit risikobasierten Ansätzen in Unternehmen handeln kann. Gibt einen enormen Grad an Freiheit, wenn man sich darüber bewusst geworden ist, was man tun kann. Das heißt, man muss sich einmal angeguckt haben, was für Risiken man hat, aber am Ende des Tages, solange man es nicht absolut auf die Grenze treibt, hat man doch als Unternehmen sehr, sehr viele Chancen, in diesem Risiko Rahmen zu handeln. Und das ist, glaube ich, das ist, glaube ich, auch ein Punkt, der draußen noch nicht so richtig bewusst geworden ist, dass wenn ein Unternehmen ein ordentliches System gefunden hat, wie es mit Risiken umgeht, also die Frage, und zwar egal welches Risiko, wenn man weiß, wie man damit umgeht, dann gibt es einem unglaublich viel Ermessensspielraum, in dem man sich bewegen kann, und ich glaube sogar, dass das Gegenüber der ein oder anderen internationalen anderen Regulation ein echter Vorteil ist. Und zwar ein echter Wettbewerbsvorteil, in dem man sich später enthalten kann.

Michael
Und kommt ja noch hinzu, unabhängig davon, ob es irgendwo im Gesetz steht oder nicht, ist es ja trotzdem auch eine gute und sinnvolle Herangehensweise, das so zu machen und sich eben überhaupt mal der Risiken bewusst zu werden, das ist schon das eine, also da sich die Gedanken zu machen, das ist schon mal der erste gute Schritt und dann das Ganze vielleicht auch noch, wenn auch nur zumindest mal im ersten Schritt grob einzuordnen, womit kann ich leben und was wäre die Vollkatastrophe, und um dann dann die Gegenmaßnahmen zu ergreifen, und ich glaube das. Da hilft dann wirklich so n so etwas völlig im ersten Sinne erstmal völlig fachfremdes sowas wie Feuerwehr, Krisenmanagement das dann zu übertragen auf das auf das juristische und auch das technische, was dann plötzlich damit eine Rolle spielt. Insofern wahrscheinlich rein intuitiv schon eine ziemlich gute Kombination gewählt von Anfang.

Dirk
An ja und der andere Punkt ist, und das ist wirklich mittlerweile wichtig, wie arbeiten denn Feuerwehren, wie arbeiten Polizeieinheiten, wie arbeitet militärische Einheiten, wir arbeiten in Stab, in Schäden, so Stäbe, haben den Großen, auch internationalen Vorteil, dass sie strukturiert sind und ehrlicherweise wie ein Stab heute in Amerika, wie ein Stab in Europa oder auch in teilweise in Asien arbeitet, unterscheidet sich von der Art und Weise gar nicht so viel, das bedeutet unsere. Zusammenarbeit mit einem Incident Responder Technischen Dienst, der auch danach arbeitet, einer Polizei, die danach arbeitet oder aber auch in einem internationalen Großkonzern ist, in den meisten Fällen gar nicht so verschieden. Das heißt, wir haben eine gemeinsame Sprache. Mit der wir uns eigentlich im technischen Aufbau verstehen. Und das ist unglaublich wichtig, und das war mir auch lange Zeit. Ich würde nicht behaupten, dass mir das, als ich 2018 entschieden habe, das zu machen, das bewusst gewesen ist, sondern das hat teilweise Jahre gebraucht, bis wir verstanden haben, was die Zusammenhänge sind und wie es funktioniert.

Marc
Gut. Wir haben ja, oder ich habe ja auch immer noch so die ein oder andere Standardfrage, und zwar du bist jetzt Dirk Koch, ein Tag König, Kaiser von Europa und kannst jetzt einen Tag lang alle Gesetze ändern, die dir einfallen. Du musst die nicht ausformuliert haben, dafür hast du deine Leute aber so von der groben Richtung, weil wo würdest du denn im Datenschutz, aber vielleicht auch im IT Sicherheits Mist 2 Regelung und so sagen. Verdammte Axt, das muss unbedingt geändert werden. Oder bist du mit allem glücklich?

Dirk
Ich weiß, dass es eine utopische Vorstellung ist. Deswegen weiß ich auch, dass es unrealistisch ist, sich am Ende des Tages umzusetzen. Aber die Frage, wie man heute mit internationaler Kriminalität umgeht beziehungsweise wie man diese nachverfolgen kann, ich. Die Frage, was eine Behörde tun darf, um herauszufinden, was auf dem Mailserver in Singapur passiert. In Indonesien passiert, in Australien passiert die Frage, dass wenn der Angreifer dort mit einer Schwachstelle einsteigen durfte, um sich dieses Servers zu bemächtigen und die Deutsche, teilweise europäische Polizei dasselbe nicht tun darf. Ja, um dieselbe Schwachstelle zu nutzen, um danach herauszufinden, welche anderen Opfer dort existieren oder was dieser Angreifer tut. Ich glaube, da würde ich nacharbeiten, das ist am Ende des Tages unter dem Begriff des Hackbacks wahrscheinlich zu verorten und durchaus umstritten in den in den Situationen aber. Ich glaube, wir laufen an viele Grenzen, weil wir nicht in der Lage sind, technologisch mit den Angreifern mit sein. Das wird immer ein Katze und Maus Spiel sein, die Angreifer werden immer einen Tick besser sein als als wir es sind, aber die Frage, dass wir nachziehen können müssen, wenn wir wissen, dass dieses ein ein Objekt eine Entität ist, die sozusagen uns Böses tut, die dem Staat Böses tut und unseren Unternehmen Böses tut, dann müssen wir dort andere Chancen haben, ich glaube das. Wäre ein Thema, was ich mir definitiv angucken würde. Neben vielen, vielen, wahrscheinlich anderen Themen und was jetzt auch dasjenige ist, was mir spontan als Erstes dazu eingefallen ist. Vielleicht weil es aus dem heutigen Tag heraus auch wieder notwendig war, aber das sind, das ist, glaube ich, durchaus ein Thema, was ich glaube, nicht nur uns, sondern der Welt helfen würde.

Marc
Okay gut.

Michael
Ja, jetzt haben wir ja gehört, ihr sitzt in in Frankfurt mit der Kanzlei, ich nehme an, dein Lebensmittelpunkt ist auch in der Region, jetzt habe ich aber noch gelesen, du bist Lehrbeauftragter an der Uni Bamberg, wie kam es dazu und was genau ist deine Aufgabe da?

Dirk
Wie kam es dazu? Die Gelegenheit kam und ich habe sie ergriffen an der Stelle, mir macht lehren unheimlich viel Spaß, weil mir das diskutieren mit Leuten Spaß macht über verschiedenste Lösungen. Der Schwerpunkt in der Universität in Bamberg oder meiner Vorlesung Mein Blogseminar handelt davon, Datenschutz, also das eigene persönliche Schutzrecht gegenüber dem Eingriffsrecht des Staates und dessen Sicherheitsinteresses abzugrenzen und über mehrere Wochenenden gemeinsam zu erarbeiten. Wie weit darf eigentlich der Staat gehen und wie weit darf ich mich persönlich schützen und wo sollte die Grenze sein, die ja gar nicht so definiert ist? Am Ende des Tages. Und am Ende des Tages hat mich der Professor, der dort den Lehrstuhl betreibt, dazu gefragt, ob ich nicht Lust hätte, weil ich mit ihm darüber diskutiert habe, sowas nicht vielleicht auch mal mit Studenten zu machen. Und da habe ich spontan ja gesagt, und ich bin ja schon ein paar Jahre dabei.

Michael
OK, also viel Staatsrecht auch wahrscheinlich und Abwägung von Grundrechtspositionen.

Dirk
Genau am Ende des Tages Staatsrecht, Eingriffsrechte des Staates gegenüber. Eben auch Datenschutz. Grundverordnung in vielen Ausführungen Chatkontrolle sehr aktuelle Themen, die ja gerade wieder in den letzten Wochen sehr aktuell diskutiert werden, gut.

Michael
Spannend. Und wenn du ja da mit mit Jungen oder vielleicht nicht mehr ganz so jungen Menschen zu tun hast, regelmäßig als Lehrbeauftragter würde mich noch interessieren, kannst du aus deinem Lebensweg, aus deinem Werdegang irgendwann irgendein? Halbwegs allgemeinen Tipp ableiten für junge Menschen, die sagen auch sowas, was der Dirk Koch macht, das fände ich auch interessant irgendwas mit Sicherheit, irgendwas mit Datenschutz fände ich gut, wie komme ich da rein, vielleicht nicht nur juristisch, was hat ihm geholfen oder was hat ihm vielleicht eher so ein bisschen im Weg gestanden auf seinem Lebensweg kannst du daraus irgendeinen Tipp ableiten?

Dirk
Also im Weg gestanden hat mir sicher nichts, das würde ich glaube ich nicht sagen. Ich glaube, dass jede Erfahrung, egal in welchem Bereich sie gemacht wird, jemanden weiterbringt. Ich glaube, dass es unglaublich wichtig ist, eine gewisse Menschenkenntnis zu entwickeln, das heißt, sich möglichst schnell darauf einstellen zu können, was das Gegenüber von einem erwartet und wie es auf einen Eintritt, weil dass die Kommunikation einfach mal das völlig egal ob das was mit IT zu tun hat in unserem Bereich dann ein. Ein grundlegendes it Verständnis und das ist glaube ich relativ schwierig geworden, gerade mit den technischen Möglichkeiten, die wir heute haben. Jemand, der heute neu sozusagen mit IT in Berührung kommt, der kriegt ein Mac Book, der kriegt einen Windows Computer, der macht den Deckel auf, der gibt das WLAN Kennwort ein und es funktioniert, der muss nicht mehr verstehen warum dieses Netzwerk jetzt mit ihm redet und wenn er das nicht wenn er diese Grundlagen nicht mehr versteht, dann wird es auch sehr sehr schwierig den ein oder anderen Betrug. Zu durchblicken, denn die Betrügereien passieren in den meisten Fällen auf dem technischen Weg. Dazwischen und dort wird irgendwo eine eine Schwachstelle ausgenutzt oder einen Prozessweg ausgenutzt, den die andere Seite nicht erwartet, weil sie die Kenntnis nicht mehr hat, wie die IT abläuft. Ich erwarte nicht von jedem Menschen, dass er jeden Computerprogrammablauf versteht oder die Prozesse versteht, aber von jemandem, der im Bereich It, Sicherheit und Datenschutz unterwegs ist, von dem erwarte ich, dass er die grundlegenden Prinzipien verstanden hat und die grundlegenden. Gelegenen Weg an und das kriegt man heute nur noch mit Allgemeinwissen hin oder mit Selbststudium, denn auch in der Schule kriegt man das heute kaum noch beigebracht. Auch in einem juristischen Studiengang habe ich nicht einmal irgendwas von IT gehört, und das ist auch okay so, aber das heißt, es wird wenig Leute von uns geben, die das so können, aber es muss ein paar Leute davon geben, weil die Welt wird immer chaotischer und immer komplizierter da draußen.

Marc
Ja, das ist wohl so. Ich weiß auch nicht, wie man diesem Problem Herr werden soll. Also ich bin ja noch quasi in der glücklichen Situation, glücklich Situation natürlich zu veraltern, aber ich werde jetzt 50 ich bin noch mit dem C 64 groß geworden und ich habe noch damit groß geworden, dass man irgendwie Disketten in den Computer rein spielt und ich habe dann glaube ich auch wahnsinnig viel von mitgenommen und wenn man mich heute fragt, ja, wie konntest du denn dieses Riesenmengen an it wissen aneignen, dann sage ich immer, eigentlich war das nicht so schwer, weil es kam jedes Jahr irgendwie 24566. Dinge dazu. Heute steht man vor so einem Berg und muss eigentlich 100 Dinge können, wenn man sich irgendwie ein bisschen mit IT Security beschäftigen will. Also wie bootet ein Computer eigentlich, was ist überhaupt ein BIOS und all sowas, das hat man irgendwie damals so mitgenommen, weil halt auch jedes Jahr ein bisschen was dazu gekommen ist. Und heute ist es aber echt viel, wenn man jetzt mal quasi so als als iphone Generation jetzt an die Universität geht und jetzt Informatik studiert. Dann lernt man in der Tat relativ viel auf einem sehr, sehr hohen Level. Ich will das auch gar nicht schlecht reden, aber wie kommt man jetzt dann quasi dahin, dass man weiß ich nicht, auch wieder eine Kommandozeile bedienen kann und auch dort versteht, was passiert denn dort eigentlich und wieso kann sich ein Virus in Bios festsetzen und so weiter und sofort alles was damit zu tun hat, das ist glaube ich schon eine riesige Herausforderung und jetzt leben wir in einer Zeit, wo man programmieren lernen in Gewissen weisen, in gewissen Bereichen auch nicht mehr machen muss und. Weil einem im Zweifelsfall die KI zumindest Fragmente vorprogrammiert, also Skripte, entwickle ich auch keine selber Mehrheit. Da benutze ich auch meine meine ki, die macht mir dann meine Python Skripte deutlich schneller als ich sie kann.

Dirk
Aber das bedeutet halt auch, wieder auf kommunikativer Ebene und ich glaube, das ist auch ein Rat, der einfach wichtig ist. Man muss zuhören. Ich muss mir anhören, warum hat der andere diesen Prozess so gebaut. Ich muss mir anhören, was sind die verschiedenen Argumente und ich muss versuchen dahinterzusteigen, was passiert da gerade und das geht nur noch durch zuhören und da muss man auch sagen, viele der Kollegen, aber auch viele auch manchmal auf einer staatsanwaltschaftlichen Ebene, oder Ermittler, die sagen, was auch ich habe schon 10 Fälle so gesehen, und ich sage ja, aber der eine Fall ist nicht mehr so wie die anderen 10 Fälle, das war aber. Man muss bis zum Ende mal zuhören, um um die Sache zu verstehen. Das gehört ganz, ganz wichtig dazu, und auch das ist was, was man lernen muss und was auch ich lernen musste, dass ich nicht alles weiß, sondern dass man manchmal sich einfach zurücklehnt und mal eine halbe Stunde sich anhört, was der andere ihm da vorträgt, und dann kann man auch in diese komplexen Dinge, die der große Berg an Wissen sind, auf einmal einsteigen und was Sinnvolles dabei finden, gut.

Marc
Gut, dann sind wir langsam mal sicher hier auch auf der Zielgerade für unser Interview. Vielen vielen dank Dirk, dass du dir heute die Zeit genommen hast und etwas aus deinem spannenden Lebensweg erzählt hast. Du darfst gleich auch noch das Schlusswort sprechen, wenn du denn magst. Aber zuerst bedanken wir uns natürlich nicht nur bei dem Dirk, sondern auch bei allen da draußen fürs Zuhören, fürs Zuschauen. Vielen Dank für eure Zeit. Wir würden uns sehr freuen, wenn ihr uns einen Daumen nach oben gebt, wenn ihr uns Sterne gebt, wenn ihr das, was wir hier gemacht haben kommentieren würdet und so weiter und sofort, weil all das hilft dem Algorithmus. Ihr dürft natürlich auch gerne anderen davon erzählen, dass euch dieses Format hier so gut gefallen hat, dass es jeder hören sollte, also in diesem Sinne. Macht das, was man halt auf diesen Plattformen so macht. Vielen Dank für eure Aufmerksamkeit, Dirk, Du darfst gerne das Schlusswort sprechen.

Dirk
Mir bleibt gar nicht so viel. Übrigens vielen dank Michael Maag für die Einladung, es hat mir extrem viel Spaß gemacht, ich mag den Ansatz definitiv, dass wir ein bisschen mehr darüber reden, warum wir diese Dinge tun und nicht, wie wir sie tun, das finde ich sehr erfrischend und mir hat sehr viel Spaß gemacht und ich wünsche euch damit noch viel Erfolg.

Marc
Danke dir, bis dann mach’s gut da draußen. Tschüss.

Michael
Tschüss.