ZUSAMMENFASSUNG
Die vorliegende Broschüre zum Thema Cybersecurity zielt da rauf ab, einen Rahmen für die Betrachtung der Sicherheitspro blematik im Bereich der Informationsverarbeitung zu liefern. Der Innovationskreis wie auch die Erstellung der Broschüre erfolgten in Kooperation zwischen dem Bodensee Innova tionscluster | BIC , der KPMG AG sowie den teilnehmenden Führungskräften der Region. Die Adressaten der Broschüre sind zum einen die Teilneh mer des Innovationskreises, denen die Broschüre als Ver schriftlichung der gemeinsam erarbeiteten Ergebnisse die nen soll. Da in den Innovationskreisen besonders darauf geachtet wird, die vertrauensvolle Arbeitsatmosphäre der Treffen zu schützen, stellt diese Broschüre die einzige of fizielle Dokumentation der Arbeit dar. Weitere besproche ne Ergebnisse verbleiben zwischen den Teilnehmern. Zum anderen bietet die Broschüre interessierten Unternehmen und gesellschaftlichen Akteuren die Möglichkeit, sich ei nen Einblick in die Arbeit des Innovationskreises zu ver schaffen und die inhaltliche Struktur sowie den Ablauf der Treffen kennenzulernen. Neben der Vorstellung der inhaltlichen Struktur des ge samten Kreises wird jede Einzelveranstaltung durch einen Beitrag des jeweiligen Speakers und durch einen Ergebnis bericht von Seiten des BIC kurz zusammengefasst. Zudem gab es für die Teilnehmer die Möglichkeit, einen Beitrag zu ihren Kompetenzthemen zu verfassen.
„Ein hervorragender Ort, um Unternehmen, Wissenschaftler, aber auch anderweitige Akteure miteinander zu vernetzen und so als eine Art Broker zu dienen für Informationen, welche die Unternehmen alleine oder auch innerhalb ihrer Branche nicht generieren könnten.“
CHRISTOPHER KÖHLER
stellv. Leiter des Innovationslabors des BIC
Februar 2020
INH A LT
4 Grußwort 6 Einleitung zum Innovationscluster und Innovationskreis 8 Themenübersicht der BIC-Erhebung 2018 10 Relevanz des Innovationskreises Cybersecurity 11 Überblick Innovationskreis Cybersecurity 12 Innovationskreis #1 : Cybersecurity Standards 15 Innovationskreis #2 : Cybersecurity Tools 18 Innovationskreis #3 : Cybersecurity Krisenmanagement 20 Innovationskreis #4 : Cybersecurity Recovery-Management 22 Innovationskreis #5 : Cloud-Sicherheit 25 Innovationskreis #6 : Cybersecurity und Künstliche Intelligenz 28 Cybersecurity braucht mehr als nur Prävention ! 30 Ausblick 31 Team 32 Unternehmenspartner 33 Kontakt & Impressum
GRUSSWORT
Industrielle ( R )Evolutionen und die dadurch ausgelösten ge
Die Studie konnte zudem aufzeigen, dass die hochgradig kom
sellschaftlichen und wirtschaftlichen Struktur wandel gehen
plexen Herausforderungen im Zuge der digitalen Transformati
immer Hand in Hand mit diversen Fragen nach Sicherheit.
on und des damit einhergehenden Strukturwandels vor allem
Waren es bei den bisherigen industriellen ( R )Evolutionsstu
über Informationssynergien, Wissensaustausch, Vernetzung
fen vermehrt Fragen der Arbeitssicherheit – und damit des
und Kooperation der relevanten Akteure im Bereich Cyberse
Schutzes der körperlichen Unversehrtheit der Mitarbeiter, so
curity bewältigt werden können.
stehen innerhalb der aktuellen digitalen Entwicklungsstufe vermehrt Fragen innerhalb des Themenkomplexes der Cyber
Zu diesem Zweck initiierten das LEIZ und das BIC in Kooperati
security im Zentrum des gesellschaftlichen wie unternehme
on und inhaltlicher Abstimmung mit der KPMG AG als operati
rischen Interesses.
vem Schirmherrn den Innovationskreis Cybersecurity.
Cybersecurity – also der Schutz bzw. die Sicherheit meist sensi bler physischer oder digitaler In formationen und Daten vor unbe fugter Nutzung, Beschädigung oder Diebstahl – ist mittlerweile
Über ein Jahr hinweg haben sich
Hochgradig komplexe Herausforderungen im Zuge der digitalen Transformation
in allen Lebensbereichen essen ziell geworden.
die relevanten Akteure im Bereich Cybersecurity verschiedener füh render Unternehmen der Bodensee region zweimonatlich am SeeCam pus der Zeppelin Universität ( ZU ) getroffen und die gleichermaßen
vertraute wie vertrauensvolle Atmosphäre dazu genutzt, zahl reiche drängende Fragen im Bereich Cybersecurity zu be
Diese Relevanz wurde auch innerhalb der ersten Evaluierungs-
sprechen. Die Themenkomplexe reichten hierbei von der ISO
studie des Leadership Excellence Institute Zeppelin | LEIZ und
27000 -Zertifizierung über Cybersecurity Tools, Krisen- und
des Bodensee Innovationsclusters | BIC im Jahre 2018 von füh
Recovery-Management bis hin zu Fragen im Bereich Cloud
renden Unternehmen in Kernbranchen der Wirtschaftsregion
sicherheit und Künstlicher Intelligenz.
Bodensee wie Maschinenbau, IT und Automotive bestätigt.
4
Bei allen Treffen gilt der Grundsatz, dass Informationen und Austausch innerhalb des Innovationskreises nicht nach außen dringen und stets vertraulich behandelt werden.
Fortschritt ist in Zeiten digitaler Transformation nur durch Vernetzung, Kooperation und Informationsaustausch möglich.
Aus dieser Erkenntnis folgen dann auch die der Digitalen Trans formation und dem daraus resultierenden Themenkomplex Cybersecurity inhärenten Notwendigkeiten : Gesellschaftlicher wie unternehmerischer Fortschritt sind in Zeiten digitaler Trans formation nur durch Vernetzung, Kooperation und Informations austausch möglich, da die Zusammenhänge zu komplex ge worden sind, als dass sie ein Akteur alleine bewältigen könnte. Jedoch müssen sensible Daten und Informationen stets vor dem Zugriff unbefugter Dritter bewahrt werden. Das LEIZ , das BIC und die KPMG AG sind stolz darauf, einen der art erfolgreichen organisatorischen Rahmen für vertraulichen Informationsaustausch in einem solch sensiblen Bereich wie der Cybersecurity geschaffen zu haben, und wünschen viel Spaß bei der Lektüre der nachfolgend niedergeschriebenen Ge danken einiger federführender Akteure des Innovationskreises.
Prof Dr Josef Wieland | LEIZ
Volker Zieske | KPMG AG
5
Einleitung zum Innovationscluster und Innovationskreis Dr Lennart Brand, Sabine Wiesmüller, BIC
Das BIC führt Forschungseinrichtungen, technologieaffine
eines gewählten Bereichs behandelt werden. Durch diese
Unternehmen und andere relevante Stakeholder in der Boden
Struktur kann das Thema mit sechs Experten aus den jewei
seeregion solchermaßen zusammen, dass themenspezifische
ligen Unterbereichen bespielt und durch komplementäre Aus
Expertise systematisch und kontinuierlich identifiziert, fokus
wahl im Laufe eines Jahres ein ganzheitliches Verständnis der
siert und zum wirtschaftlichen sowie gesamtgesellschaftli
Thematik des jeweiligen Innovationskreises erarbeitet werden.
chen Nutzen regional wie überregional nutzbar gemacht wird.
Durch diese inhaltliche Aufstellung und das Ineinandergreifen
Durch den angestrebten Austausch werden sowohl Auswir
der einzelnen Arbeitstreffen entsteht ein nachhaltiges Gesamt
kungen des digitalen Wandels als auch gemeinsame Innovati
modell, das von den Teilnehmern in ihren Unternehmen Stück
onspotenziale sichtbar. Diese Broschüre verfolgt auch das Ziel,
für Stück implementiert werden kann. Bei der Planung eines
Ihnen einen Einblick in den inhaltlichen Aufbau und die Ergeb
jeden Innovationskreises wird daher die Auswahl der Exper
nisse der gemeinsamen Arbeit zu geben.
ten auf die Bearbeitung spezifischer strategischer Themen hin
Grundsätzlich wird jeder Innovationskreis durch eine Impuls
Akteure steigt die Anwendbarkeit der Themen innerhalb der
veranstaltung an der ZU initiiert. Diese Veranstaltungen wer
Unternehmen graduell an.
getroffen. Im Verlauf der Zusammenarbeit der teilnehmenden
den vom Innovationslabor des BIC in Abstimmung mit dessen Kuratorium geplant und durchgeführt. Die Impulsveranstal
Ziel eines jeden Treffens ist die Anwendung der Expertise des
tung findet entweder in Form eines halbtägigen Events mit
jeweiligen Experten auf konkrete Herausforderungen der Teil
mehreren Workshops oder einer Konferenz statt. Im Anschluss
nehmer. Idealerweise schließen sich diejenigen Teilnehmer,
beginnt die Arbeit in Innovationskreisen, wobei jeder Innovati
die sich mit ähnlichen oder gleichen Herausforderungen kon
onskreis über eine Mindestdauer von einem Jahr abgehalten
frontiert sehen, in Gruppen zusammen und arbeiten gemein
werden sollte. Die Arbeitstreffen sind hierbei mit einer Tak
sam an Lösungsansätzen für ihre Unternehmen. Falls einige
tung von etwa acht Wochen angesetzt. Somit ergibt sich pro
der Teilnehmer eine unabhängige Bearbeitung ihrer Fragestel
Innovationskreis eine Mindestanzahl von sechs Treffen. Bei
lung ohne Anschluss an eine Gruppe wünschen, so ist dies
erfolgreicher Zusammenarbeit ist eine Fortsetzung der Treffen
auch möglich. Der Experte kann entweder aus den Reihen
wünschenswert. Angesichts der Dauer eines jeden Innovati
der teilnehmenden Unternehmen selbst gestellt werden oder
onskreises sollten innerhalb eines Zyklus sechs Unterthemen
ein externer Akteur sein. Möglich ist zudem auch eine Misch
6
form der beiden Varianten, bei der ein externer Experte mit einem Experten aus den teilnehmenden Unternehmen ge meinsam den Workshop bestreitet. Bei der Planung des zeit lichen Ablaufs und der schrittweisen Erarbeitung der Ergeb nisse wird ein eigens hierfür entwickeltes Workshopdesign eingesetzt, das den Ablauf regelt und die zielführende Erarbei tung sicherstellt. Diese Form der Bearbeitung hat das Ziel, die Teilnehmer der Workshops miteinander in Dialog zu bringen und die Diskussion eigener Erfahrungen zu fördern. Als sinn volle Arbeitsformen werden die Arbeit in Fokusgruppen, Klein gruppendiskussionen und kurze vorbereitete Impulsvorträge betrachtet. Die Dauer der Veran staltungen beträgt drei bis drei einhalb Stunden. Durch eine zu sätzliche gemeinsame Kaffeepau- se und ein anschließendes Get- Together ergibt sich eine Veran staltungsdauer von etwa einem
Anwendung der Expertise des jeweiligen Experten auf konkrete Herausforderungen der Teilnehmer
halben Arbeitstag. Während der gesamten Veranstaltung wird darum gebeten, weder Fotos zu machen noch elektronisch mitzuschreiben. Ein offizielles Fotoprotokoll der Arbeitsergebnisse wird durch die Mitarbeiter des BIC angefertigt und kann im Nachgang beim Innovationslabor angefragt werden.
7
T HE ME NÜBE R S IC H T DE R BIC - E RHE BUNG 2 018
Implikationen künstlicher Intelligenz für Geschäftsmodelle und Gesellschaft
Lebenslanges Lernen und TechnologieAkzeptanz im Unternehmen
Künstliche Intelligenz stellt clusterübergreifend eine The
Bei der Implementierung neuer Technologien stellt es für
matik dar, die bei den Unternehmen der Region sehr gro
die Unternehmen eine Herausforderung dar, die Mitarbeiter
ßes Interesse geweckt hat und als die wohl relevantes
„mitzunehmen“ und weiterzubilden. Zwar sind Erleichterun
te Technologie des digitalen Wandels verstanden wird.
gen der Arbeitsprozesse spürbar, andererseits ist jedoch
Nichtsdestoweniger wird sie von noch fast keinem Unter
ein vermehrter Bedarf an technologienahen Fachkräften
nehmen der Bodenseeregion umgesetzt und betriebsin
festzustellen. Aufgrund der tiefgreifenden Entwicklungen
tern genutzt. Die Folgen einer Integration von künstlicher
sehen die Interviewpartner eine Notwendigkeit intensiver
Intelligenz für Wirtschaft und Gesellschaft in der Region
Überzeugungsarbeit und Aufklärung auf allen Ebenen des
sind bisher noch unklar. Daher gilt es, dieses Thema ge
Unternehmens. Deshalb ist es von besonderer Relevanz,
zielt zugänglich zu machen und mit den Unternehmen die
Mitarbeiter fortzubilden, neue Mitarbeiter aufzubauen und
Implikationen der Nutzung zu diskutieren und Szenarien
durch angepasstes, weniger hierarchisches Führungs
erfolgreicher Umsetzung zu erarbeiten.
management Sensibilisierung und Partizipation zu unter stützen, um Vertrauen in diese Neuerungen zu schaffen.
8
T HE ME NÜBE R S IC H T DE R BIC - E RHE BUNG 2 018
Cybersecurity
Digitales Nachhaltigkeitsmanagement
Industrieübergreifend wächst in den Unternehmen am Bo
Unternehmen unterstützen ihr CSR - und Umweltmanage
densee das Bewusstsein für Cybersecurity. Die Unterneh
ment zunehmend digital. Dabei nutzen sie Lösungen, die
men befassen sich mit Sicherheitsfragen, um den Kunden
zum Beispiel Compliance mit Umweltregularien sichern,
und ihre Organisation wirksam vor Datenmissbrauch schüt
die Bewertung der sozialen Leistungen von Lieferanten ver
zen zu können. Datensicherheit ist eine zentrale Aufgabe
walten oder nicht-finanzielle Informationen für das eigene
angesichts der zunehmenden Vernetzung von Produkten
Reporting sammeln. Die Unternehmen nennen weitere Bei
und Maschinen. Auch die Sicherheitsgewährleistung bei
spiele : von der CO2 -neutralen Mobilität der Mitarbeiter über
der Speicherung von Kundendaten in der Cloud sowie die
die konzernweite virtuelle Abstimmung zu sozialem Engage
Einhaltung der Datenschutzregularien gegenüber Kunden
ment bis hin zur digitalen Bewertung von Produktdesign am
und Mitarbeitern stellen Herausforderungen dar. Gleichzei
Lebenszykluskonzept.
tig untersuchen viele Unternehmen derzeit die Chancen der Datenauswertung und -nutzung, um neue Geschäftsmodel le zu entwickeln.
9
CYBERSECURIT Y
Relevanz des Innovationskreises Cybersecurity Ralph Schröder KPMG AG, Sabine Wiesmüller BIC
Im Zuge der Erhebung des BIC aus dem Jahr 2018 wurden vier
Cybersicherheit der EU -Kommission und das neue IT-Sicher
Schwerpunktthemen auf Basis der geführten Interviews defi
heitsgesetz eingefordert. Das erfordert ein Management der
niert. Ein Thema, dem eine besonders hohe Wichtigkeit und
Informationssicherheit, für das mittlerweile gute internationale
vor allem Dringlichkeit beigemessen wurde, ist Cybersecuri
Standards vorliegen, sodass Unternehmen hierbei Hilfestel
ty. Gerade in diesem Feld gab es in den vergangenen Jahren
lung erlangen können.
ein starkes Umdenken, das durch zahlreiche Medienberichte zu Cyberangriffen noch verstärkt wurde : Cybersecurity wird
Das alleine reicht allerdings nicht mehr aus – Komplexität und
zunehmend zu einem Thema, das zu Herausforderungen für
eine übergreifende Digitalisierung erfordern ein gemeinsames
die strategischen Entscheidungsträger im Unternehmen führt.
Vorgehen und einen strategischen Austausch der Unterneh
Dies begründet sich zunehmend daraus, dass Unternehmen
men in einem Cyberökosystem. Zusammenarbeit mindert die
nicht mehr vor der Frage stehen, ob sie jemals Opfer eines An
Last auf den Schultern des Einzelnen und fördert die gemein
griffs werden, sondern sich vielmehr mit der Tatsache be fassen müssen, dass dies mit großer Wahrscheinlichkeit geschehen wird und es viel mehr darum geht, im Ernst fall richtig zu reagieren. Auch die Rahmenbedingun gen haben sich geändert : Si
same Weiterbildung in diesem
Komplexität und eine übergreifende Digitalisierung erfordern ein gemeinsames Vorgehen und einen strategischen Austausch der Unternehmen in einem Cyberökosystem.
cherheit in unserer stark ver-
sich ste tig wandelnden Feld. Auf grund dieses drängenden Handlungsbedarfs wurde der Innovationskreis Cybersecurity als erster Schwerpunkt des BIC ge startet und ein solches Netz werk ins Leben gerufen – und damit ein Ort an dem die Un ternehmen der Bodenseeregion gemeinsam mit Experten an
netzten und mehr und mehr digitalen Welt ist für alle Unter
den für sie relevanten Themen zum Management von Risiken
nehmen überlebenswichtig geworden. Sicherheit in der Infor
aus der Informationsverarbeitung arbeiten, sich mit Gleichge
mationsverarbeitung ( Informationssicherheit, Cybersecurity )
sinnten austauschen und ihr Wissen teilen können.
wird aber auch seitens der EU durch den neuen Rechtsakt zur
10
CYBERSECURIT Y
Überblick Innovationskreis Cybersecurity Innovationskreis
Innovationskreis
Innovationskreis
Jahreskonferenz
Auftaktveranstaltung : Cybersecurity
Auftakt
| Dr Christian Bühring, Bundeswehr | Dr Helmut Mahler, Code White GmbH
Innovationskreis
Innovationskreis
| Bodo Meseke, Ernst & Young GmbH | Prof Dr Martin Schulz, German Graduate School of Management and Law gGmbH
Innovationskreis
Innovationskreis #1 : Cybersecurity Standards | Ralph Schröder, KPMG AG Innovationskreis #2 : Cybersecurity Tools –
Innovationskreis #5 : Cloud-Sicherheit
Übersicht, Auswahlkriterien und Vorgehen
| Ralph Schröder, KPMG AG
| Ralph Schröder, KPMG AG
| Dr Henrik Loeser, IBM Deutschland
Innovationskreis #3 : Cybersecurity Krisenmanagement
| Sven Merk, SAP SE
Research and Development GmbH | Ralph Schröder, KPMG AG | Robert Welter, KPMG AG
Innovationskreis #6 : Cybersecurity und K I | Ralph Schröder, KPMG AG
Innovationskreis #4 : Cybersecurity Recovery-Management
| Dr Helmut Mahler, Code White GmbH
| Ralph Schröder, KPMG AG
| Thomas Fischer, Code White GmbH
| Robert Welter, KPMG AG
11
CYBERSECURIT Y
Innovationskreis #1 : Cybersecurity Standards Aktuell, zukünftig und sinnvolle Anwendung
Das gilt auch für spezielle Bereiche wie Industry 4.0 / IoT ( In ternet of Things ), für die in den vergangenen Jahren ebenso
Ralph Schröder, KPMG AG
Standards durch die International Electrotechnical Commissi Es sind im Wesentlichen die Standards der ISO / I EC 27000 er-
on ( IEC ) erarbeitet worden sind – diese sind als IEC 62443-1-4
Serie, die in vielen Bereichen als Zertifizierungsstandards, Gui
bekannt und international anerkannt. International wird ver
delines sowie sektor- und controlspezifische Standards exzel
stärkt das amerikanische Cybersecurity-Regelwerk des NIST
lente Hilfen zum Management und zur Implementierung von
( National Institute of Standards and Technology ) forciert, das
Maßnahmen geben. Im Fokus jeden Informations-Sicherheits-
als „Cybersecurity Concept“ in der ISO/IEC 27000 er-Serie ist.
Management-Systems ( ISMS ) steht der Schutz der unterneh merischen Tätigkeit gegenüber den Risiken der Informations
Zukünftige internationale Standards werden vermehrt spe
verarbeitung – die Risiken stehen damit im Vordergrund und
zifische Cybersecurity-Themen regulieren, so etwa IoT Ga
nicht die absolute Sicherheit, die sich ohnehin nicht erreichen
teway-Sicherheit, Cyber-Insurance oder Cybersecurity von
lässt.
Produkten. Das liegt auch im Fokus der Europäischen Union, die mit dem EU CSA ( Cyber Security Act ) vergangenes Jahr ei nen Rechtsrahmen für den gesamten EU -Binnenraum geschaffen hat. Ziel ist es, durch die Anwendung von
Managementsysteme bestehen immer aus : Regelwerk, Prozessen und Organisation
spezifischen EU -Sicherheitsstandards – die aktuell von den ESO (European Standard Organisations), wie CEN/
ISMS : Protect the Company Business
CENELEC JTC13 , erarbeitet / adaptiert werden – ein ein Information Security Policy Framework ( Governance ) Information Security Organization ISMS Processes : RA / Risk Mgmt InfoSec Incident Mgmt BCM / Resilience Monitoring & Reporting Awareness & Training Audit & Review
Effizientes, effektives Sicherheitsmanagement ist immer risikobasiert und orientiert sich an internationalen Standards
12
heitliches Sicherheitsniveau in den EU -Mitgliedstaa ten in den nächsten Jahren zu erreichen. Diese neuen EU -Standards werden folglich länderspezifische Stan
dards direkt ersetzen. Das kommende neue deutsche IT-Sicherheitsgesetz wird dies direkt aufnehmen und
für die Umsetzung der beschlossenen drei Sicherheits niveaus von bspw. Produkten festlegen. Das amerika nische NIST Cybersecurity Framework ist zusätzlich international interessant, da es gemäß dem Vorgehens modell „Identify, Protect, Detect, Respond & Recover“ aufgebaut ist.
CYBERSECURIT Y
Ergebnisse Innovationskreis #1 Sabine Wiesmüller, Cindy Klotzsche, BIC
“To enhance the security and resilience of [ … ] critical infrastructure and to maintain a cyber environment that encourages efficiency, innovation, and economic prosperity while promoting safety, security, business confidentiality, privacy, and civil liberties.” Executive Order 13636 – Improving Critical Infrastructure Cybersecurity
Mit dieser politischen Zielformulierung entwickelte die U.S. -Re
Das NIST-Framework bietet dabei einen Überblick über den
gierung in enger Zusammenarbeit mit dem privaten Sektor ein
strategischen Zyklus des Risikomanagements, bestehend aus
Framework, um Cybersecurity-Risiken nachhaltig sowie kos
fünf parallel und kontinuierlich stattfindenden Prozessen :
teneffizient zu managen. Das sogenannte NIST-Framework
Identify, Protect, Detect, Respond & Recover. Aufbauend auf
verzichtet dabei auf die Implementierung regulatorischer Vor
diesen Prozessen werden Kern- sowie Subkategorien identi
gaben; stattdessen orientiert es sich an Managementprozessen
fiziert, die die existierenden Standards und Guidelines in das
und ermöglicht dadurch die Integration des Cybersecurity-Ri
Framework integrieren.
sikomanagements in die strategische Unternehmensführung.
Function
Kategorie
Identify
Governance Business Environment Risk Management
Protect
Identity & Access Management Awareness, Education & Training IT Security Information Protection
Detect
| Compliance | Information Security Aspects of BCM | Information Security Incident Management | Supplier Relationships | System acquisition, Development & Maintenance
non-IT
| Information Security Policies | Organization of Information Security | Human Resource Security | Asset Management | Access Control
ISMS
Detection of Anomalies & Events Monitoring & Reporting
Respond
Response Planning Analysis & Mitigation Communications & Improvements
Recover
Recovery Planning Communications & Improvements
| Operations Security | Communications Security
IT Security
| Cryptography | Physical & Environmental Security
13
CYBERSECURIT Y
In der Sitzung des Innovationskreises schlug Ralph Schröder
Die Ergebnisse zeigen, dass der bisherige Fokus der Inves
( KPMG AG ) eine Adaptation des NIST-Frameworks vor, um die
titionen auf den initialen Phasen Identify und Protect liegt.
Erfüllung der Anforderugen an die Einrichtung, Umsetzung,
Unternehmensübergreifend fehlt bislang ein Verständnis für
Aufrechterhaltung und fortlaufende Verbesserung des ISMS
die Relevanz der anschließenden Prozesse : Detect, Respond
( ISO/IEC 27001) eines Unternehmens sicherzustellen.
und Recover. Diese Fokussierung ist nach Meinung der Teilneh
Auf Basis dieses angepassten Frameworks identifizierten die
vor dem Kriseneintritt durch präventive Maßnahmen. Dabei ist
mer das Resultat des Glaubens an einen vollkommenen Schutz am Innovationskreis partizipierenden Entscheidungsträger ver
es nach Aussage von Ralph Schröder ( KPMG AG ) keine Frage
schiedener Branchen und Unternehmensgrößen in multidiszi
mehr, ob, sondern vielmehr, wann ein Unternehmen Opfer ei
plinären Kleingruppen ein strategisches Vorgehen, eine mög
nes Angriffs wird und ob es diesen bemerkt.
liche Implementierung im Kontext des eigenen Unternehmens und die damit einhergehenden Herausforderungen. Diese be-
Einseitige Cybersecurity-Zertifizierungen, die bislang nur auf
stehen vor allem im fehlenden Bewusstsein für Risiken der
der Ebene der Requirement-Standards erfolgen, das noch aus
Informationsverarbeitung sowohl auf Managementebene als
stehende ganzheitliche Bewusstsein im Unternehmen für die
auch in der täglichen Arbeit der Mitarbeiter. Abschließend
hohe Bedeutsamkeit der Thematik und die fehlende Einbin
wurde das Ergebnis dieser Diskussion – eine „Idealform“ des
dung multipler Anspruchsgruppen bestärken die unzureichen
Risikomanagements – dem Status quo des unternehmensin
de Integration der Prozesse Detect, Respond und Recover in
ternen Umgangs mit Cybersecurity-Risiken gegenübergestellt.
das Risikomanagement der Unternehmen.
14
CYBERSECURIT Y
Innovationskreis #2 : Cybersecurity Tools – Übersicht, Auswahlkriterien und Vorgehen Cybersecurity-Tools zur Unterstützung des Risikomanagements
Insofern ist für die Auswahl eines Tools für das Sicherheitsma
Ralph Schröder, KPMG AG
tuellen und zukünftigen Anforderungen im Blick hat und auf
Der Kernprozess eines jeden Sicherheitsmanagements ist der
folgende Grundsätze :
nagement ein strategisches Vorgehen notwendig, das alle ak den jeweiligen Toolprovider / Hersteller projektiert. Hier helfen
Risikomanagementprozess – im Cybersecurity- / Informations sicherheitsbereich das Management der Risiken aus der In
| Klare Ziele, Vorgaben und eine mittel- bis langfristige Strategie
formationsverarbeitung. Die Komplexität alleine dieses einen
| Start small, think big – das Tool sollte sich flexibel den Anfor
Prozesses – internationalen Standards wie ISO 31000 / ISO / I EC 27005 folgend – überfordert große Organisationen regelmäßig,
wenn es darum geht, nachvollziehbar und transparent Risiken
derungen anpassen und skalierbar sein. | Das Tool muss zur Unternehmenskultur, zur Organisation und zur IT-Architektur passen.
zu erfassen, zu bewerten und zu managen.
| Bei der Auswahl sollten tangierende Bereiche ( Internal Audit,
Dies kann nur mit geeigneten Tools erfolgen. Sie beinhalten
| Besser, ein Tool erfüllt 80 Prozent voll als 99 Prozent teilweise.
Lösungen für spezifische Prozesse des Sicherheitsmanage
| Der Aufwand, um das Tool initial zu füllen und „arbeitsfähig“
ments wie Incident Management, Monitoring & Reporting,
zu machen, sollte angemessen sein für die gewünschten Er
DS etc. ) beteiligt werden.
Audit Management und Compliance Management.
gebnisse. | Enge Abstimmung mit IT, Risikomanagement, Compliance
Insbesondere die Unterstützung von Zertifizierungen in der Umsetzung von internationalen Normen wie ISO / I EC 27001, ISO 9000, ISO 14000 oder ISO 50000 ist eine wesentliche Hilfe
für Unternehmen, die in sogenannten „Joint Audits“ sehr ef fektiv und effizient genutzt werden. Hier existiert mittlerweile eine große, funktionale Fülle an Tools, die allerdings stets ei nen Schwerpunkt gemäß ihrer ursprünglichen Entwicklungs
und Revision kann förderlich sein. | Geben Sie dem Toolhersteller Ihren „Case“ – und fragen Sie ihn nach seinem Zeitaufwand. | Das Tool sollte die Ergebnisse „management-kompatibel“ darstellen können. | Regelmäßiger Support und Updates sind wichtig – Auswirkungen sind immer zu prüfen.
historie haben – mal ist es eine reine Sicherheitsanalyse oder
| Der Hersteller sollte mit seinen Anwendern eng zusammen
Compliance zu Standards, reines Risiko- oder Qualitätsma
arbeiten ( Weiterentwicklung ) und die Anwender einbinden,
nagement oder sogar hoch-komplexe GRC ( Governance, Risk & Compliance ) Suiten, die oft wenig in die Tiefe gehen.
um Akzeptanz zu sichern. | Medienbrüche in der Anwendung des Tools sollten vermie den werden ( Fehler, Aufwand etc. ). 15
CYBERSECURIT Y Managementsysteme bestehen immer aus : Regelwerk, Prozessen und Organisation
Tool Kategorien
GRC Suites
Hinweise / Besonderheiten Governance, Risk & Compliance Suites bewegen sich im Vergleich zu IS Management Tools auf einer übergeordneten Ebene ( Unternehmensführung, Risikomanagement, Compliance ). ISM fällt in den Leistungsumfang einer vollständigen GRC-Suite, jedoch besitzt nicht jede GRC-Suite ein ( vollständiges ) ISM-Modul.
Risiko Management Plattform
Spezialisierte Risikomanagement-Plattformen ermöglichen die zentrale Steuerung unternehmensweiter Risiken. Sie spezialisieren sich auf das „R“ der GRC-Suites. ISM fällt unter den Leistungsumfang von Risikomanagement-Plattformen. Wie bei GRC-Suites besitzen jedoch nicht alle Risikomanagement-Plattformen ein ( vollständiges ) ISM-Modul.
ISM-Lifecycle Tools
ISM-Lifecycle Tools sind eigenständige Tools, welche die Abbildung des gesamten ISM-Lebenszyklus‘ erlauben. Lifecycle Tools orientieren sich in der Regel am ISO / IEC 27001-Standard bzw. decken die wesentlichen Aspekte des BSI 200-1 ab.
Unvollständige Tools
Als unvollständige Tools werden im Rahmen einer Marktanalyse alle Tools bezeichnet, die zwar spezifische Funktionalitäten besitzen, jedoch nicht oder nur unvollständig den Lifecycle unterstützen und damit nicht den Anforderungen eines ganzheitlichen Managementsystems entsprechen können. In diese Kategorie fallen auch Anwendungen, die nur Teilaspekte abbilden, bspw. „Mass Notification Tools“. Tools dieser Art sind für die Implementierung bei den meisten Unternehmen ungeeignet.
Ergebnisse Innovationskreis #2
Unternehmen relevante Anforderungen integriert und unnötig
Sabine Wiesmüller, Cindy Klotzsche, BIC
hohe Kosten vermieden werden. In der Sitzung des Innovati onskreises präsentierte Ralph Schröder ( KPMG AG ) ein Modell
Ein Cybersecurity Tool ist eine unterstützende Software zur
zur Auswahl und Implementierung, bestehend aus vier Pha
Integration, Automatisierung und Simplifizierung von Prozes
sen : 1. Setup, Scope & Preparation ; 2. InfoSecTool Workshop ;
sen – mit dem Ziel, Zeit und Geld zu sparen. Der Einsatz von
3. InfoSecTool Evaluation ; 4. Conception, Pilots & Implemen
Cybersecurity Tools zur Stärkung des eigenen Risikomanage
tation. Entsprechend diesem Modell müssen zunächst rele
ments resultiert aus einer Abwägung des potenziellen Risikos
vante Anforderungen an das Tool unter Einbezug sämtlicher
für das Unternehmen und der Möglichkeiten, einzelne Prozes
Anspruchsgruppen definiert und priorisiert werden. Auf Basis
se des Risikomanagements zu standardisieren.
dessen kann bereits eine Vorauswahl der infrage kommen den Tools getroffen werden. Daraufhin werden die einzelnen
Ein strukturiertes Vorgehen bildet dabei die Grundlage für die
Tools in einem praxisnahen Fallbeispiel unter Anleitung des
Auswahl und den zielführenden Einsatz eines Tools zur Un
Herstellers getestet und entsprechend den zuvor definierten
terstützung des Risikomanagements. Nur so können für das
Kriterien evaluiert. Dieses Vorgehen ermöglicht es, eigene
16
CYBERSECURIT Y praktische Erfahrungen in den Entscheidungsprozess für die
Kategorisierung der Anforderungen nach übergeordneten
Auswahl eines Tools einzubeziehen und so eine fundierte Ent
strategischen sowie funktionalen bzw. technischen Kriterien
scheidung zu treffen. Der abschließende Implementierungs
verdeutlichte die verschiedenen Blickwinkel der Teilnehmer.
prozess sollte in enger Zusammenarbeit mit dem Hersteller
Die unterschiedlichen Ergebnisse zeigen die Notwendigkeit
erfolgen, um die Software an die unternehmensspezifische
der Einbindung aller beteiligten Anspruchsgruppen in den ge
Umgebung anzupassen und bestmöglich in das bestehende
samten Prozess der Tool-Auswahl und -Implementierung. Über
Risikomanagement zu integrieren. Grundlage des gesamten
grundlegend relevante Merkmale der Software bestand unter
Prozesses der Tool-Auswahl und -Implementierung bildet da
den Teilnehmern jedoch branchenübergreifend Einigkeit. Hier
bei die Definition relevanter Anforderungen. Im gemeinsamen
zu zählte u.a. gute Zusammenarbeit mit dem Hersteller. Diese
Austausch erarbeiteten die am Innovationskreis partizipie
ermögliche es, auf Veränderungen der Anforderungen zeitnah
renden IT-Experten und Führungskräfte verschiedener Bran
und angemessen zu reagieren sowie Prozesse fortlaufend zu
chen und Unternehmensgrößen einen Anforderungskatalog
verbessern. Kosten und Datenschutzregeln nehmen bei der
zur Bewertung von Cybersecurity Tools. Die anschließende
Auswahl des Tools eine übergeordnete Rolle ein.
Übersicht Tool & Provider
User Interface
Vendor-spezifische Anforderungen
Transfer Ergebnisse in Tool Risk Funktionalität Unternehmensstruktur Reporting & Präsentation
Workflow Engine nutzen
Evaluierung von Ergebnissen
ISMS Funktionalität
Kundenspezifische Anforderungen z.B. IT Integration, User, Role, Access Modell, Erweiter barkeit / Anpassung, Pricing
Reporting Workflow Vendor, Provider, Referenzen Andere Anforderungen
Strategische Auswahlkriterien
Funktionale und technische Auswahlkriterien
Proposal
Use Case-Elemente
17
CYBERSECURIT Y
Innovationskreis #3 : Cybersecurity Krisenmanagement Krisen- und Notfallkonzepte Robert Welter, KPMG AG
Denn die bloße Existenz eines Dokuments, auf dem „Krisen handbuch“ steht, hilft in der Regel wenig. Die Elemente des Krisenhandbuchs müssen bereits vor der Krise in den Köpfen
Krisenmanagement, so heißt es, ist Chefsache. Diesbezüglich
der in Notfall- und Krisenstab verantwortlichen Akteure festge
ist die Rechtslage auch eindeutig – so wird unter anderem im
meißelt sein. Denn in der Krise kommt es darauf an, dass ver
Aktiengesetz und GmbH-Gesetz darauf verwiesen, dass die
schiedene Akteure unter im Zweifel derartig nicht „einstudier
Behandlung von Risiken Aufgabe der Geschäftsführung ist.
ten“ Bedingungen zusammenarbeiten. Die Informationsflüsse
Der Umgang mit Risiken im Cyberkontext beinhaltet auch die
zu bündeln und in ein gemeinsames Lagebild zusammenzutra
gewachsene Einsicht, dass man im Bereich Cybersecurity kei
gen, ist eine nicht zu unterschätzende Herausforderung.
ne vollständige Sicherheit herstellen kann und somit auch für Großstörungen, Notfälle und Krisen gewappnet sein muss.
So verhält es sich mit Krisenhandbüchern ähnlich wie mit Be ziehungsratgebern. Die allerwenigsten Menschen werden,
Die Vorbereitung auf Störungen erfolgt in der Regel auf der
wenn sie sich mit ihrem Partner in einer fordernden Situation
Grundlage definierter Aufbau- und Ablauforganisationen, die
wiederfinden, zum Bücherregal greifen und in einem Bezie
im Notfall- und Krisenhandbuch festgehalten sind. Hierzu ist
hungsratgeber nach den richtigen Antworten suchen.
festzustellen, dass die meisten Notfall- und Krisenhandbücher den Realitätscheck nicht überleben, denn die Erfahrung zeigt,
In der Krise geschieht dies folglich in simultaner Form : Wenn
dass die Notfall- und Krisenkonzepte nicht oder nur unzurei
Mitarbeiter, Vorstand, aufsichtsführende Behörden, Kunden
chend in der Krise genutzt werden. Damit ist der orientierungs
und Lieferanten alle zur selben Zeit um dringende Informatio
stiftende Charakter der Notfallkonzepte hinfällig. Daraus ergibt
nen bitten, bleibt keine Zeit, sich mit den geplanten und noch
sich die Fragestellung, welche Anforderungen jeweilige Not
nie getesteten Abläufen vertraut zu machen.
fallkonzepte erfüllen sollten, um „krisenfest“ zu sein. Neben einer klaren und stringenten Organisationsstruktur ist bei der
Zusammenfassend lässt sich festhalten :
Erstellung der Notfallkonzepte vor allem die Einsicht erforder
Planung der Vorbereitung auf den Notfall nur auf Basis robus
lich, dass diese auch in Zeiten höchster emotionaler Anspan
ter Strukturen. Ob Strukturen und Abläufe robust sind, sollte
nung und in äußersten Stress-Situationen funktionieren müs
besser vor der Krise getestet und erprobt werden.
sen. Inwiefern die bestehenden Notfall- und Krisenkonzepte tatsächlich in einer Krise „funktionieren“, lässt sich am ehesten
Gehen Sie daher ebenso vorbereitet in eine Krise wie in eine
in regelmäßigen Notfalltests und Krisenübungen feststellen.
gute Beziehung und seien Sie auf alles vorbereitet !
18
CYBERSECURIT Y
Ergebnisse Innovationskreis #3
In einem interaktiven Workshopformat konnten diese Heraus
Sabine Wiesmüller, Cindy Klotzsche, BIC
forderungen des Krisenmanagements und des Faktors Mensch für die teilnehmenden Entscheidungsträger im Innovations
„Es ist keine Frage mehr, ob, sondern nur noch wann ein Un
kreis spielerisch erfahrbar gemacht werden. Führungskräfte
ternehmen Opfer eines Angriffs wird.“ Dieses Zitat von Ralph
verschiedener Branchen und Unternehmensgrößen simulier
Schröder ( KPMG AG ) verdeutlicht die Bedeutsamkeit des Kri
ten in einer prozessbezogenen Fallstudie eine Krisensituation,
senmanagements im Bereich Cybersecurity. Das Business
in der sie fortwährend antizipieren und im Team zusammen
Continuity Management ( BCM ) zur Minimierung der Auswir
arbeiten mussten. Das Ziel bestand darin, die erforderlichen
kungen einer Krisensituation wird dabei zu einer entscheiden
Metakompetenzen – adaptives Denken und die Bereitschaft,
den Komponente des übergeordneten ISMS . Die Anforderun
sich ständig auf wechselnde Rahmenbedingungen einzulassen
gen, definiert durch den führenden internationalen Standard
– zu vermitteln.
ISO 22301, zielen darauf, die Risiken einer Betriebsunterbre
chung im Krisenfall auf ein Minimum zu reduzieren.
Die Kombination aus theoretischem Rahmen eines idealen Ri
Das in der Theorie scheinbar perfekte und standardisierte Ri
Mensch durch variierende Wahrnehmung und Einschätzung
sikomanagements und den Unsicherheiten, die der Faktor sikomanagementmodell in der Praxis anzuwenden, stellt Füh
verursacht, verdeutlichte die Notwendigkeit eines ganzheitli
rungskräfte jedoch vor zahlreiche Herausforderungen – allem
chen Ansatzes, der alle beteiligten Anspruchsgruppen einbin
voran der Faktor Mensch : Der Mensch kann aufgrund seiner
det und präventiv auf den Ernstfall vorbereitet.
subjektiven Beurteilung und unterschiedlichen Wahrnehmung von Risiken in der Krisensituation selbst zum größten Risiko
Ruhe, Konzentration und Teamgeist sowie die Fähigkeit, trotz
faktor werden. Denn das Krisenmanagement bedarf mehr als
des Zeitdrucks nicht das Gesamtbild aus den Augen zu verlie
linearer Methoden und des Abarbeitens vordefinierter Check
ren und die Ressourcen im Team durch Delegation sinnvoll
listen. Vielmehr erfordert die Krisensituation die Bewertung von
parallel nutzen zu können, wurden zu den entscheidenden
Risiken, Teamfähigkeit und adaptives Denken. Somit werden
Faktoren im Umgang mit der Krisensituation. Zeitgleich ver
die Sensibilisierung für Risiken, der Umgang mit diesen so
deutlichte die Arbeit an dem Fallbeispiel die Notwendigkeit
wie die Vorbereitung auf den Krisenfall zu zentralen Aufgaben
der prozessualen Erprobung sowie der gemeinsamen Ent
des Topmanagements, um die negativen Auswirkungen einer
wicklung von Notfallhandbüchern.
Krisensituation zu minimieren.
19
CYBERSECURIT Y
Innovationskreis #4 : Cybersecurity Recovery-Management Disaster Recovery
Recovery Point Objective ( RP O ) – Wie viel Datenverlust kann
Robert Welter, KPMG AG
in Kauf genommen werden ? Bei der RPO handelt es sich um den Zeitraum, der zwischen zwei Datensicherungen liegen darf,
Der explizite Fortbetrieb der IT und die Datenrettung im Notfall
das heißt, wie viele Daten / Transaktionen dürfen zwischen der
wird im Disaster Recovery Plan ( DRP ) geregelt, der als fester
letzten Sicherung und dem Systemausfall höchstens verlo
Bestandteil des BCM -Konzepts gilt.
ren gehen. Wenn kein Datenverlust hinnehmbar ist, beträgt die RPO 0 Sekunden.
Disaster Recovery – übersetzt als Katastrophenwiederherstel lung oder Notfallwiederherstellung zu verstehen – bezeichnet
Die Umsetzung eines DRP und dessen Erfolg wird zu nicht un
Maßnahmen, die nach einem Ausfall von IT-Komponenten
wesentlichen Teilen in der Planung determiniert. Ein erforder
eingeleitet werden. Dazu zählt sowohl die Datenwiederherstel
liches Maß an Planung hilft, die Komplexität beherrschbar zu
lung als auch das Ersetzen nicht mehr benutzbarer Infrastruk
machen. Nichtsdestoweniger muss damit gerechnet werden,
tur, Hardware und deren Organisation.
dass auch bei der geplanten Rückführung Widerstände und Unwägbarkeiten auftreten können.
Um einen DRP richtig zu gestalten, gibt es einige wichtige Punk te, die unter keinen Umständen vergessen werden sollten. Bei
Letztendlich muss bei einem Recovery-Management auch
der Beurteilung einer Disaster Recovery Lösung sind folgende
berücksichtigt werden, dass es nicht nur um die technische
Punkte einer Business Impact Analyse ( BIA ) zu beachten :
Wiederherstellung geht. Vielmehr wollen eine Vielzahl an Sta keholdern, Mitarbeitern, Kunden und Behörden darüber infor
Recovery Time Objective ( R TO ) – Wie lange darf ein Ge
miert werden, wo man gerade im Recovery-Prozess steht.
schäftsprozess / System ausfallen ? Bei der RTO handelt es sich um die Zeit, die vom Zeitpunkt des Schadens bis zur vollstän
Ein funktionierendes Krisenmanagement, das für geordnete
digen Wiederherstellung der Geschäftsprozesse (Wiederher
Informationsflüsse und ein gemeinsames Lagebild sorgt, hilft
stellung von : Infrastruktur – Daten – Nacharbeitung von Daten –
Vorgänge zu strukturieren, Aufgaben zuzuordnen und deren
Wiederaufnahme der Aktivitäten ) vergehen darf. Der Zeitraum
Bearbeitung zu überwachen.
kann hier von 0 Minuten ( Systeme müssen sofort verfügbar sein ) bis mehrere Tage ( in Einzelfällen Wochen ) betragen.
20
CYBERSECURIT Y
Ergebnisse Innovationskreis #4 Sabine Wiesmüller, Cindy Klotzsche, BIC
Im gemeinsamen Austausch der partizipierenden Führungs kräfte konnten im Innovationskreis anhand von Worst- und Best-Case-Szenarien branchenübergreifende Anforderungen
Im Anschluss an eine Krisensituation folgt das Recovery-Ma
und Herausforderungen des Recovery-Managements identi
nagement. Dieses umfasst die Prozesse zur Rückkehr zum nor
fiziert werden. Hierfür wurde zunächst ein Negativszenario
malen Betrieb und zur Schadensbegrenzung für die Organisa
entwickelt, um auf alle dem Erfolg hinderlichen Faktoren hin
tion und ihre Stakeholder. Der Fokus sollte dabei darauf liegen,
zuweisen. Im Rahmen der Erstellung einer „Not-to-do“- sowie
den gewohnten Betrieb im Unternehmen wiederherzustellen,
einer „To-do“-Liste konnten im Dialog potenzielle Hindernisse
die Ursachen und das Management des Vorfalls zu analysieren
und zentrale Aufgaben des Recovery-Managements bestimmt
und zu bewerten sowie die Erkenntnisse in das Krisenmanage
und klassifiziert werden. Darauf aufbauend entwickelten die
ment zu integrieren. Der Business Recovery Process lässt sich
teilnehmenden Entscheidungsträger Roadblocks im Sinne
dabei in drei Phasen unterteilen – Aktivierung, Ausführung und
klassischer Milestone-Planung. Der daraus resultierende Zehn-
Wiederherstellung, die sich jeweils durch verschiedene Pro
Punkte-Plan kann als Grundlage der Einleitung des Reco
zesse charakterisieren.
very-Prozesses dienen :
Aktivierung beschreibt die Meldung eines Ausfalls der Infor
| Einrichtung eines Krisenstabs
mationstechnologie sowie die Einordung und Bestimmung des
| Klärung von Versicherung und Haftungsbeschränkung
dadurch entstandenen Schadens. Dazu sollten alle Anspruchs
| Klärung von Meldepflichten, bspw. bei DGSVO
gruppen über den Schadensfall informiert, der entstandene
| Erstellung einer Übersicht der kritischen Prozesse
Schaden bewertet und die Reaktivierung vorbereitet werden.
und Abbildung der betroffenen Strukturen | Zusammenfassung der wesentlichen Punkte zur Berichter
Die Ausführung des zuvor definierten Recovery-Plans umfasst
stattung ( kongruente Darstellung und stringentes Wording )
die direkte kommunikative und operative Reaktion auf den
| Abstimmung der Kommunikation mit Stakeholdern
Vorfall sowie die Wiederherstellung der Funktionsfähigkeit kri
| Einrichtung einer Hotline für Kunden und Mitarbeiter
tischer Systeme.
| Gewährleistung interner verschlüsselter Kommunikation | Abwägung zwischen Strafverfolgung und schneller Wieder
Die Wiederherstellungsphase beschreibt die vollständige Wiederaufnahme der gewohnten Geschäftstätigkeiten. Dieser Prozess kann stufenweise erfolgen.
herstellung eigener Systeme sowie präventive Maßnahmen im Fall eines unentdeckten Schadens | Aufteilung der Verantwortlichkeiten, um die Funktionsfähig keit aller weiteren Prozesse zu erhalten 21
CYBERSECURIT Y
Innovationskreis #5 : Cloud-Sicherheit Teamwork von Anbieter und Kunde Dr Henrik Loeser, IBM Deutschland GmbH
die Bereitstellung isolierter und abgesicherter Teilnetzwerke ( Firewalls, Anti- DD oS, Intrusion Detection ), | den Betrieb entsprechender Sicherheitszentralen mit Vorhal
Cloud-Computing ist die Nutzung von IT-Ressourcen, die über
tung von geschulten Mitarbeitern zur Reaktion auf Sicher
das Internet zur Verfügung gestellt werden. Durch Virtualisie
heitsvorfälle ( PSIRT / CSIRT : Product / Computer Security Inci
rung teilen sich typischerweise viele Kunden die von einem
dent Response Team, PSIRT / C SIRT ) sowie die Integration von
Anbieter zur Verfügung gestellten Leistungen. Je nach Art der
eigenen SIEM -Systemen ( Security Intelligence and Event
IT-Ressourcen wird unter anderem zwischen IaaS ( Infrastruc
Management ) mit denen der Kunden,
ture as a Service ), PaaS ( Plattform ) oder SaaS ( Software )
| den Schutz der Rechenzentren vor physischen Gefahren
unterschieden. Um einen sicheren Betrieb zu gewährleisten,
( Physical Security ) durch entsprechende bauliche und orga
müssen Anbieter und Kunde kooperieren. Details werden durch
nisatorische Maßnahmen.
die Anbieter in den Vertragsbedingungen geregelt und unter scheiden sich von der Art der Dienstleistung. Teamwork ist auf
Regulatorik und Compliance
jeden Fall bei der Zugriffsverwaltung und Datensicherheit er
Als Zeichen entsprechend hoher betrieblicher Standards in
forderlich.
klusive Sicherheitsmaßnahmen lassen sich Cloud-Anbieter
Anbieter-Aufgaben
270X X -Standards gibt es zahlreiche weitere für einzelne Bran
entsprechend zertifizieren. Zusätzlich zu verschiedenen ISO Aufgabengebiete des Anbieters umfassen unter anderem :
chen und Regionen. Der vom Bundesamt für Sicherheit in der
| die Benutzer- und Rechteverwaltung ( Identity and Access
Informationstechnik ( B SI ) entworfene Anforderungskatalog
Management, IAM ) mit Audit-Möglichkeiten, | die Datensicherheit ( Data Security ) durch entsprechende Verschlüsselung mit bspw. Schlüsselverwaltung durch den
für Cloud-Computing – Cloud Computing Compliance Controls Catalogue ( B SI C5 ) – ist für deutsche Kunden von beson derem Interesse.
Kunden, | die Gewährleistung oder Mithilfe zur Anwendungssicher
Für die sichere und konforme Nutzung von Cloud-Ressour
heit ( A pplication Security ) durch Überprüfen ( S cans ) auf
cen ist zu beachten, dass bei den meisten Cloud-Anbietern
Schwachstellen und den Schutz vor Attacken ( Anti- DD oS ),
die Zertifizierungen nur für Teilbereiche wie IaaS oder einzel
| bei Plattformressourcen die Unterstützung zur sicheren Nut
ne Dienste gelten. Daher sind genaue vertragliche Abspra
zung für Entwicklung und Betrieb von Kundenanwendungen
chen sowie das eingangs erwähnte Teamwork zwischen Anbie
( DevSecOps ),
ter und Kunde notwendig, um die gewünschte und benötigte
| den sicheren Netzwerkbetrieb ( Network Security ) durch 22
Cloud-Sicherheit zu gewährleisten.
CYBERSECURIT Y
Sichere Softwareentwicklung und -lieferung in die Cloud
Zwar lassen die Verwender von Open Source immer mehr da
Sven Merk, SAP SE
von in ihre Produkte einfließen, jedoch verpassen sie es häufig,
Die heutige Softwareproduktion ist durchsatzorientiert und
von öffentlich publizierten Sicherheitslücken zu halten. Hacker
auf Geschwindigkeit fokussiert. Während Planungs-, Entwick
nutzen diese Schwachstellen aus, um sich Zugang zu Daten
lungs- und Lieferzyklen früher in Monaten und Jahren gemes
und Rechensystemen zu verschaffen und diese für ihren per
sen wurden, versorgen Elite Performing Teams inzwischen 46-
sönlichen Vorteil zu missbrauchen.
ten Prozessen bspw. durch Codereviews aufgedeckt werden.
diese Komponenten auf dem aktuellen Stand und damit frei
mal schneller ihre Cloud-Systeme mit einer 7-fach niedrigeren Fehlerrate als bisher. Die Vorteile solch hochfrequenter Lie
Die Konsequenz bedeutet, Sicherheitsaspekte in den Entwick
ferzyklen für den Anwender liegen klar auf der Hand : Neue
lungs- und Betriebsprozess von Cloud-Lösungen zu integrie
rungen, Änderungen und Fehlerbehebungen werden nahezu
ren und fortlaufend an den aktuellen Stand der Technik und die
direkt verfügbar.
momentane Bedrohungslage anzupassen. Was heute als Dev SecOps bezeichnet wird, ist der Versuch, dieser Anforderung
In der Konsequenz sind Softwaresysteme heute oft deutlich
Rechnung zu tragen. Grundlage hierfür ist eine Produktionsin
komplexer in ihrem Aufbau, was sich auf deren Wartungs-
frastruktur, die alle automatisierbaren Sicherheitsmaßnahmen
und Betriebskomplexität und die damit verbundenen Kosten
als Teil der Continuous Integration and Deployment ( CI / C D ) Pi
auswirkt. Daher ist eine möglichst nahtlose Verzahnung zwi
peline ausführt – mit dem Ziel, die manuellen Aufwände auf ein
schen dem Development-, also dem Entwicklungs-, und dem
Minimum zu reduzieren.
Operations-, dem Betriebsteam erforderlich. Diese wird im sogenannten DevOps Modell umgesetzt. Dies führt jedoch zu
Durch Shift-Left verlagert man Risikoanalysen und Sicher
neuen Herausforderungen im Umgang mit Qualitäts- und Si
heitsprüfungen in die frühesten Phasen des Entwicklungspro
cherheitsrisiken.
zesses, nahe an den einzelnen Entwickler – mit der Zielsetzung, Defekte aufzuspüren, solange das Verantwortungsbewusst
Neben der Tatsache, dass jeglicher Quellcode potenziell mit
sein noch hoch ist und die mit der Korrektur verbundenen Kos
Defekten behaftet ist und dies somit auch Open-Source-Pro
ten und Risiken gering sind.
jekte betrifft, baut deren Entwicklung überwiegend auf einem Vertrauensmodell auf – der Erwartung, dass die Personen, die Quellcode beitragen, keine Hintertüren, Schadcode oder Ähn liches beisteuern oder dass diese zumindest in den angelager 23
CYBERSECURIT Y
Ergebnisse Innovationskreis #5
Zusammenarbeit mit dem Anbieter mit ihnen auseinanderset
Sabine Wiesmüller, Cindy Klotzsche, BIC
zen und sich ihrer bewusst werden muss.
In den vergangenen Jahren ist die Nutzung von Cloud-Com
Um die gewünschte Cloud-Sicherheit zu gewährleisten, soll
puting zu einem zentralen Treiber der digitalen Transformation
ten sich Unternehmen an sechs grundlegenden Prinzipien ori
geworden. Unter anderem die aktuellen Zahlen des Cloud Mo
entieren: business- and stakeholder-minded, risk-focused, pro
nitor ( 2019 ) von der Bitkom Research GmbH und der KPMG AG
tect hybrid and multi-cloud, cyber- and privacy-compliance,
belegen diese Entwicklungen : 73 Prozent aller Unternehmen in
invest smart, agile on-demand and seamless. Entscheidender
Deutschland greifen bereits auf Rechenleistung aus der Cloud
Erfolgsfaktor für Cloud-Sicherheit ist jedoch die Zusammenar
zurück. Cloud-Computing charakterisiert sich dabei durch
beit zwischen Anbieter und Kunde.
die vielfältigen Möglichkeiten des Zugriffs auf Informationen, die durch die vier Attribute „anywhere, anyone, anytime und
In einem interaktiven Workshop erarbeiteten die partizipieren
anyhow“ beschrieben werden. Cloud-Technologien stellen
den Führungskräfte und IT-Experten des Innovationskreises
Unternehmen damit leistungsstarke Tools zur Verfügung, die
Erfolgsfaktoren dieser Kooperation und identifizierten, welche
schnellere Innovationen, eine flexible Nutzung von IT-Ressour
Verhaltensweisen des Kunden die Sicherheit der IT-Ressour
cen, Skaleneffekte sowie einen Wandel von der klassischen
cen gefährden. Dazu entwickelten die Teilnehmer ein Negativ
Produktentwicklung zu einem agilen Software-Engineering
szenario. Im Anschluss an die Erarbeitung allgemeiner Sicher
ermöglichen.
heitsanforderungen fokussierten sich die Teilnehmer auf die Entwicklung eigener Lösungsstrategien, um sichere Software
Mit diesen neuen Zugriffsmöglichkeiten und Entwicklungs
lösungen innerhalb der Cloud zu gewährleisten.
abläufen verändern sich auch die Sicherheitsanforderungen grundlegend. Die Sicherheit der Anwendung muss dabei mit
Teamfähigkeit, eine Innovationskultur, der offene Umgang mit
der hohen Deployment-Frequenz Schritt halten. Das bisheri
Fehlern sowie kontinuierliche Feedbackschleifen wurden da
ge Vorgehen, die Software gelegentlich punktuell zu prüfen,
bei branchenübergreifend als entscheidende strategische Er-
funktioniert damit nicht mehr. Stattdessen müssen Security-
folgsfaktoren für die Arbeit mit Cloud-Technologien identifi
Aspekte auch in alle Aktivitäten innerhalb des agilen Soft
ziert. Darüber hinaus sind technische Aspekte bei der Einfüh
ware-Engineering integriert werden. Zeitgleich erhöhen die
rung von Cloud-Technologien, wie die individuelle Konfigura
erweiterten Zugriffsmöglichkeiten auf Daten ebenfalls poten
tion, die Nutzung einer Verschlüsselungsarchitektur und die
zielle Risiken und Bedrohungen. Die Verantwortung des Um
Ausführung regelmäßiger Updates sowie Backups, für die si
gangs mit diesen Risiken liegt beim Kunden, der sich in enger
chere Zugriffsverwaltung entscheidend.
24
CYBERSECURIT Y
Innovationskreis #6 : Cybersecurity und Künstliche Intelligenz Risiken der Informationsverarbeitung
dern damit zu rechnen ist, dass dies jedem Unternehmen wi
Ralph Schröder, KMPG AG
derfahren kann : Widerstandsfähigkeit wird somit wichtiger denn je. Dies geht oft einher mit dem Unverständnis des Top
Die aktuelle digitale Transformation – mit ihren intendierten Pro
managements, die hier anstelle strategischer Fragestellungen
duktivitäts- und Geschäftsvorteilen – erzeugt neue Risikoklas
meist „nur“ Risiken in der IT sehen.
sen durch eine Vergrößerung der Angriffsflächen bei gleichzei tiger Erhöhung der Reichweite. Neue Risikotypen erschaffen
Das greift auch der Global Risks Report 2020 des World Eco
neue Risiken auf Basis von Geschäftsprozessverflechtungen,
nomic Forum auf, in dem im vierten Jahr in Folge Cyber-Risi
und das nicht nur aus technologischer Sicht. Hinzu kommen
ken unter den Top 5 der größten Risiken der Welt gelistet wer den. Mittlerweile reicht es nicht mehr aus, den Schutz auf die wertvollsten Informationen zu konzentrieren ( crown jewels ) ;
kenntnis, dass Risikovorfälle nicht mehr abwendbar sind, son
Unternehmen müssen sich dessen bewusst werden, dass ein
Der typische Verlauf der Reifegradkurven in einem Unternehmen
Typischer Treiber der digitalen Transformation
neue horizontale und vertikale Regulierungen auf EU- und Länderebene mit exemplarischen Sanktionshöhen und die Er-
Digital labour
2
Innovation
4
Internet of Things
6
AI & Machine Learning
8
Biometrics & Cyber
1
Big data
3
Cloud
5
Social Business
7
Mobility
9
Cyber risk
Security maturity
Cyber opportunity
Digital maturity
25
CYBERSECURIT Y
Angriff jeden Bereich des Unternehmens in Gefahr bringt, und ein systematisches Vorgehen entwickeln, damit umzugehen. Es war daher Teil meines Vortrags, einen weiteren wichtigen Aspekt vorzustellen, der Unternehmen aktuell zwingt, Risiken aus der Informationssicherheit effektiv zu managen : Security Rating. Neue Ratingagenturen bewerten Unternehmen auf Ba- sis von öffentlich verfügbaren Informationen, erzeugen Risk- Vektoren und berechnen täglich aktuell einen Security Score. Den benutzen wiederum Unternehmen, um eine Dienstleisteroder Partnerauswahl zu treffen, um bspw. nur mit „sicheren“ Unternehmen Geschäfte zu tätigen. Diese Ratings werden zu künftig eine ähnliche Rolle wie die heutigen Finanzratings spie len und sollten von Unternehmen sorgfältig bedacht werden. Die typischen Treiber der digitalen Transformation beschleu nigen die Geschäftsmodelle schneller, als der Reifegrad eines Sicherheitsmanagements folgen kann. Insbesondere Künstli che Intelligenz, die mittlerweile auch für technische Angriffe benutzt wird, wird in diesem Prozess eine wesentliche Rolle spielen. Hierbei nicht zu vernachlässigen ist eben auch die technische Seite. Den wesentlichen technologischen Aspekt dazu stellte Dr Helmut Mahler vor, der mit seinem Unterneh men Code White GmbH in Ulm systematisch Schwächen und Risiken der Informationssicherheit aufdeckt und die Unterneh men berät, wie sie diesen Risiken begegnen können.
26
CYBERSECURIT Y
Ergebnisse Innovationskreis #6 Sabine Wiesmüller, Cindy Klotzsche, BIC
die Unternehmensstrategie sowie das Risikomanagement be dürfen dabei des Bewusstseins der Risiken auf Top-Manage mentebene sowie im Aufsichtsrat. Ist dieser erste Schritt – das
„Wir bauen immer höhere Zäune – und übersehen,
Bewusstsein für die Risiken – getan, geht es um den gezielten
dass sich die Hacker darunter durchgraben.“
Aufbau und die Schulung interner Kompetenzen zum Schutz
Dr Helmut Mahler, CODE White GmbH
vor Cyberattacken.
2020 wurden die Risiken der Informationsverarbeitung im Alli
Im gemeinsamen Austausch der teilnehmenden Führungs
anz Risk Barometer erstmals als global größte Gefahr für Unter
kräfte des Innovationskreises konnten wirksame Maßnahmen
nehmen eingestuft. Wie erwähnt, bewertete auch der Global
zum Schutz vor Cyberattacken identifiziert werden. Anknüp
Risks Report 2020 des World Economic Forum die Risiken der
fend an die Erkenntnisse der vergangenen Innovationskreis
Informationsverarbeitung als zentrale Gefährdung für Unter
treffen zu den Themen ISO 27000 , Cybersecurity Tools, Krisen-
nehmen. Diese Einschätzungen verdeutlichen die anhaltend
und Recovery-Management sowie Cloud-Sicherheit seien
hohe Bedeutung der Thematik Cybersecurity. Bevorstehende
branchenübergreifend vier Aspekte zu betrachten :
technologische Neuerungen und Weiterentwicklungen wer
1. Compliance & Risk, 2. Angriffserkennung, 3. Response-Pro
den diese Relevanz weiter verstärken. Mit neuen Möglichkei
zesse, 4. die strategische Verortung der IT-Security
ten der Detektion von Angriffen – beispielweise durch den Einsatz selbstlernender Systeme – verbessert sich auch die
Das Bewusstsein für die Risiken der Informationsverarbeitung
Qualität der Angriffe. Die Schwachstellen im Unternehmen lie
auf Managementebene, eine adäquate Risikobewertung und
gen dabei vor allem beim Menschen als Anwender und begin
die vertikale Integration der Informationssicherheit im gesamten
nen bereits mit der Auswahl von Passwörtern. Ein zu banal ge
Unternehmen wurden als entscheidende strategische Erfolgs
wähltes Passwort eines Mitarbeiters kann bereits den Zugriff
faktoren für den Umgang mit Cybersecurity-Risiken identifiziert.
auf sensible Daten durch einen Außenstehenden ermöglichen.
Operativ muss das Risikomanagement durch die folgenden fünf
Zum nachhaltigen Umgang mit den Risiken der Informations
Aspekte ergänzt werden :
verarbeitung ist es notwendig – neben dem kontinuierlichen Schließen von Schwachstellen in der Systemarchitektur – alle
| Patch-Management
Mitarbeiter für diese Risiken zu sensibilisieren. In dieser Konse
| Einführung einer Zwei-Faktor-Authentifizierung
quenz ist Cybersecurity kein reines Thema der Informations
| Einführung einer Passwort-Policy
technologie, sondern betrifft die gesamte operative Tätigkeit
| Sensibilisierung für die Detektion von Anomalien
des Unternehmens. Die notwendige Top-down-Integration in
| Ausarbeitung von Response-Prozessen 27
IMPRESSIONEN
Cybersecurity braucht mehr als nur Prävention ! Moritz Huber, smartsec
Blickt man hinter die Kulissen der Wirtschaft und Verwaltung
her auf einen ganzheitlichen Ansatz Wert legen. Dieser basiert
steht die Entwicklung und Implementierung ganzheitlicher Di
neben reinen Präventionsmaßnahmen vor allem auf den bei
gitalisierungsstrategien vielerorts mit höchster Priorität auf der
den Bausteinen Detektion und Reaktion. Die Themen Incident
aktuellen Agenda. Trotz aller damit einhergehenden Vorteile
Response und IT-Notfallmanagement waren deshalb meine
darf eines nicht außer Acht gelassen werden : Mit der rasanten
persönlichen Highlights des Innovationskreises Cybersecurity.
technologischen Entwicklung neuer Applikationen und Syste
Aus diesem Grund möchte ich die Key-Facts der beiden Work
me kann die Erforschung und Implementierung notwendiger
shops mit Ihnen teilen :
( I T- ) Sicherheitsmaßnahmen nicht immer Schritt halten.
Wer einen Angriff nicht sieht, kann ihn nicht abwehren ! Häufig Aus diesem Grund ist es nicht verwunderlich, dass die Bedro
werden Cyber-Attacken erst erkannt, wenn schon erhebliche
hungslage durch geschäftskritische Cyber-Angriffe für die
Schäden eingetreten sind. Das kontinuierliche Monitoring der
Wirtschaft und auch die Verwaltung seit Jahren kontinuier
eigenen Systeme ist deshalb Pflicht.
lich steigt. Insbesondere kleinere und mittlere Unternehmen,
Der nächste Angriff kommt bestimmt ! Bereiten Sie sich des
aber auch große Konzerne geraten dabei immer wieder in den
halb mit technischen, programmatischen, organisatorischen
Fokus einer Vielzahl unterschiedlicher Täter. Gravierende Bei
und personellen Maßnahmen auf die anstehenden Herausfor
spiele, wie die kürzlich bekannt gewordenen Schwachstellen
derungen vor.
in Produkten des Softwareherstellers Citrix, führen uns diese
Notfallmanagement ist Teamarbeit ! Kaum ein Unternehmen
Verwundbarkeit eindrücklich vor Augen.
kann es sich noch leisten, die erforderlichen Kompetenzen in house vorzuhalten. Daher lohnt es sich vielmals, strategische
Innerhalb kürzester Zeit ist es global agierenden Hackern
Kooperationen mit externen Spezialisten einzugehen.
mittels vollautomatisierter Verfahren gelungen, eine unüber
Lassen Sie sich nicht treiben ! Cybersecurity ist eines der Top-3-
schaubar hohe Anzahl von Citrix-Systemen zu kompromittie
Risiken im Zeitalter der Digitalisierung. Gehen Sie das Thema
ren. Erschwerend kommt hinzu, dass derartig unvorhergese
aktiv an und informieren Sie sich und Ihre Mitarbeiter.
hene Entwicklungen selbst gut abgesicherte Unternehmen in Bedrängnis bringen können. Alleine dieses aktuelle Beispiel zeigt unmissverständlich auf, dass rein präventive IT-Sicher
Herzlichen Dank vor allem an das Team des BIC,
heitsmaßnahmen nicht mehr ausreichen, um Unternehmen
die KPMG AG und an alle Mitglieder des Innovati
wirksam vor geschäftskritischen Cyber-Angriffen zu schützen.
onskreises Cybersecurity für den gewinnbringen
Wer das Thema Cybersecurity vorantreiben möchte, sollte da
den Austausch und die wertvollen Erkenntnisse !
28
IMPRESSIONEN
„Der Innovationskreis Cybersecurity hat richtig Spaß ge
„Das BIC bietet die Möglichkeit, das vorhandene Wissen zu
macht. Eine kompetente fachliche Leitung durch die KPMG
vertiefen, aber eben auch in zukünftige Entwicklungen zu
AG , eine motivierte, fachlich versierte Teilnehmergruppe
schauen – beispielsweise, wie Künstliche Intelligenz Ein
und eine ausgezeichnete organisatorische Umrahmung der
fluss nehmen wird auf Cybersecurity und wie wir uns zu
Veranstaltungen waren Garanten für den Erfolg. Impuls
künftig aufstellen müssen, um das Thema bewältigen zu
vorträge zu verschiedenen Fachthemen eröffneten eine
können.“
Veranstaltung und in verschiedenen Workshops konnten die Teilnehmer ihre Erfahrungen zu bestimmten Fragestel
SVEN MERK, SAP SE
lungen einbringen. Erfahrungsaustausch untereinander und Vernetzung waren wichtige Komponenten der stets sehr gut organisierten Veranstaltungen.“ PROF DR JÜRGEN NEUSCHWANDER, HT WG KONSTANZ
„Mich ganz persönlich begeistert am BIC , dass dieses Format nicht fix ist, sondern es gibt einen Freiraum – und in diesem Freiraum können Sie Ihre Themen, Ihre Lösungsansätze dis kutieren und Sie haben die Möglichkeit, in einem vollkom
„Im BIC können wir auf einer vertrauensvollen Basis und auf Augenhöhe miteinander diskutieren.“ OLIVER HUF, ROLLS -ROYCE POWER SYSTEMS
men geschützten Raum einen Mehrwert zu gewinnen.“ VOLKER ZIESKE, KPMG AG
29
Ausblick Im aktuellen Global Risks Report des World Economic Forum
Es ist uns eine besondere Freude, dass die Teilnehmer des
geben über 75 Prozent der befragten Experten an, dass sie im
Innovationskreises sich nach der zunächst letzten offiziellen
Jahr 2020 einen Anstieg von Cyberattacken auf digitale Infra
Sitzung des Innovationskreises Cybersecurity im Januar ent
struktur und Daten erwarten. Cyberangriffe bzw. die Risiken
schieden haben, den Innovationskreis weiterzuführen. Das
eines Angriffs, wie Datendiebstahl, sind nach diesem Bericht
BIC und die KPMG AG haben diese Bereitschaft der Teilnehmer
das relevanteste sowohl kurz- als auch lang-
als starkes Kooperati
fristige technologische Risiko mit dem größ
onssignal aufgegriffen
ten Einfluss und der höchsten Eintrittswahr scheinlichkeit für – und das ist wichtig – Multistakeholder – kurz gesagt : für uns alle. Sie betreffen Unternehmen ebenso wie Staaten und Privatpersonen. Es ist daher von essenzieller Wichtigkeit, sich in allen
Ein Denk- und Arbeitsraum, in dem man sich vertrauensvoll austauschen und voneinander lernen konnte
und werden den Inno vationskreis daher mit Freude weiterhin be treuen. Nach dem ers ten Jahr des Innova tionskreises, welches
Bereichen des täglichen privaten und be
das Ziel verfolgte, ei
ruflichen Lebens mit diesem Thema zu
nen Überblick über die
befassen und die Konsequenzen eines solches Angriffs zu
Felder der Cybersicherheit zu geben, wird es in Zukunft nun
kennen. Das Bewusstsein der hohen Relevanz dieses Themas
die Möglichkeit geben, einzelne Unternehmen tiefergehend zu
war es, das die Experten des Innovationskreises Cybersecurity
behandeln. Die Teilnehmer können nun noch stärker auf die
dazu bewogen hatte, sich tiefergehend mit den Rahmenbedin
Gestaltung der Treffen einwirken und sie an ihre individuellen
gungen, den verschiedenen Risiken und deren Implikationen,
Fragen und Themenkomplexe anpassen.
aber auch notwendigen Gegenmaßnahmen zu beschäftigen. Das BIC ist stolz, eben diesen Experten einen Denk- und Ar
Wir freuen uns auf die weitere erfolgreiche und vertrauensvol
beitsraum zur Verfügung gestellt zu haben, in dem sie sich
le Zusammenarbeit zu einem der drängendsten Themen unse
vertrauensvoll austauschen und voneinander lernen konnten.
rer Zeit !
Dr Lennart Brand | LEIZ 30
Ralph Schröder | KPMG AG
Sabine Wiesmüller | BIC
Cindy Klotzsche | BIC
TEAM
Dr Lennart Brand ist Managing Director des LEIZ. Nach Studienabschlüssen in Wien und Edinburgh arbeitete er in der Luftfahrtindustrie, bevor er in Oxford promovierte. Er ist seit 2012 an der ZU tätig und übernahm seine jetzige Position im Jahr 2015. Lennart Brand obliegt darüber hinaus die Geschäftsführung des BIC .
Ralph Schröder ist Regionalleiter Südwest Cybersecurity bei der KPMG AG und verfügt über mehr als 25 Jahre Erfahrung in den Bereichen Cybersecurity, Information Security Management und Strategische Informationssicherheit. Er hat seine Expertise in weltweiten Projekten auf allen Kontinenten gesammelt. Gemeinsam mit Sabine Wiesmüller und Cindy Klotzsche ist er für die strategische Ausrichtung und inhaltliche Kuration des Innovationskreises Cybersecurity verantwortlich.
Sabine Wiesmüller studierte International Business unter anderem in Deutschland, Spanien und Mexiko. In ihrer Promotion befasst sie sich mit den Auswirkungen neuer Technologien auf Unternehmensverant wortung und gesellschaftliche Prozesse. Ihre aktuelle Position als Leiterin des Innovationslabors und Mitgründerin des BIC hat sie seit 2018 inne. Dabei ist sie unter anderem für die strategische Leitung des Innovations kreises Cybersecurity verantwortlich.
Cindy Klotzsche studiert Soziologie, Politik und Ökonomie an der ZU. Nach Auslandsaufenthalten in Mailand und Kopenhagen arbeitete sie zuletzt für eine First Tier-Beratung und fokussierte sich auf Projekte des digital getriebenen Changemanagements. Aktuell ist sie als Innovationmanagerin des BIC tätig.
31
BE TEILIGTE UNTERNEHMEN
AIRBUS GROUP
N D S AT C O M G M B H
S M ART S EC
EDIGURUS GMBH
OPESUS AG
S PA R K A S S E B O D E N S E E
H T W G KO N S TA N Z
R O L L S - R O YC E P O W E R S Y S T E M S A G
W I N T E R H A LT E R G A S T R O N O M G M B H
KPMG AG
S A P D E U T S C H L A N D S E & C O. KG
32
Kontakt Sabine Wiesmüller sabine.wiesmueller@zu.de +49 7541 6009 2266 zu.de/bic
Impressum Zeppelin Universität gemeinnützige GmbH Am Seemooser Horn 20 88045 Friedrichshafen
Chefredaktion : Dr Lennart Brand Redaktion : Sabine Wiesmüller, Sebastian Paul Art Direction : Philipp N. Hertel Grafikdesign : Petra Mohr, Simon Merz
zu.de/bic