SEKOP2017

“Die CISO Agenda 2018 – Next Challenges!”

1. Cyber Security-Managementdialog
17. – 19. Juni 2017 Hotel Bachmair Weissach am Tegernsee

Workshops

Workshop 1:
CISO 2025 – Berufsbild im Wandel
Brauchen wir mehr technisch versierte Krawattenträger?
Workshopleitung: Dr. Rolf Reinema, Siemens AG
Prof. Norbert Pohlmann, Instituts für Internet-Sicherheit

Workshop 2:
Cyber Security von Morgen
Bedrohungen durch digitale Trends
Workshopleitung: Abdou Naby Diaw, Vodafone GmbH
Prof. Dr. Gabi Dreo Rodosek, UniBw München

Workshop 3:
Cyber Crisis Management
Erfolgsfaktoren für den Worst Case
Workshopleitung: Axel Allerkamp, Axel Springer SE
Prof. Dr. Dirk Labudde, HS Mittweida

Workshop 4:
Security for Safety
Wie gelingt die Synthese?
Workshopleitung: Dr. Matthias Drodt, Deutsche Bahn AG
Prof. Dr. Jens Braband, Siemens AG

Workshop 5:
Stronger Together
Best Practice für die Zusammenarbeit von Sicherheitsbehörden und Privatwirtschaft.
Workshopleitung: Dr. Stefan Grosse, Bundesministerium des Innern
Prof. Timo Kob, ASW Bundesverband

Workshop 6:
Strategische Simulation Cyberangriff
Sind Sie wirklich vorbereitet?
Workshopleitung: Michael Bartsch, Zukunftsforum Öffentliche Sicherheit e.V.
Dr. Stefanie Frey, Cyberexpertin Strategy and Policy

Workshop-Teilnahme und -Organisation
Die Workshops laufen zeitlich parallel, d.h. es ist jeweils die Teilnahme an einem Workshop möglich. Die Ergebnisse aller Workshops werden dem Plenum vorgestellt und im Rahmen einer InfoFair präsentiert. Der Dialog auf der InfoFair ermöglicht den Teilnehmern, sich über alle Workshop-Ergebnisse detailliert zu informieren. FINAKI dokumentiert diese Ergebnisse in der Ergebnisdokumentation. Die beschriebenen Inhalte dienen als Basis für die Workshop-Arbeiten. Moderatoren und Teilnehmer entscheiden gemeinsam, welche Schwerpunkte sie in ihrem Workshop bearbeiten.



Workshop 1:
CISO 2025 – Berufsbild im Wandel
Brauchen wir mehr technisch versierte Krawattenträger?
Workshopleitung: Dr. Rolf Reinema, Siemens AG
Prof. Norbert Pohlmann, Instituts für Internet-Sicherheit

Die Spezialisten für die IT-Sicherheit kamen ursprünglich aus der IT und aus reinen Techies wurden Spezialisten, die heute aus dem Unternehmensalltag kaum mehr wegzudenken sind. Gerade das starke Wachstum in den vergangenen Jahren hat viele Quereinsteiger dazu bewogen, auf diesen Zug aufzuspringen. Aus dem Mangel an Fachkräften heraus wird eine den Herausforderungen entsprechende Qualifizierung schon einmal vernachlässigt. Wer sich für eine Karriere in diesem Bereich entscheidet, muss sich jedoch seiner Verantwortung bewusst sein und sich ständig weiter entwickeln. Dies betrifft nicht nur technische Expertise, sondern vor allem auch Management-Wissen. Das liegt vor allem daran, dass durch die fortschreitende Digitalisierung immer mehr Geschäftsprozesse online gehen. Sicherheitsverantwortliche müssen in der Lage sein, eine Brücke zwischen der Technik auf der einen und der Geschäftsebene auf der anderen Seite zu schlagen. Heute ist es oft nicht einfach, offene Stellen im Bereich Cybersecurity mit qualifizierten Experten zu besetzen. Der Wettbewerb um die besten Talente hat folgerichtig zu deutlichen Gehaltssprüngen in diesem Bereich geführt, sehr zur Freude von Recruitern und Headhuntern. Es stellt sich die Frage, ob wir es in der Vergangenheit versäumt haben, genügend Fachkräfte in diesem Bereich auszubilden oder die vorhandenen Fachkräfte nicht das richtige Profil haben, um künftigen Anforderungen gewachsen zu sein. Bisher haben wir sehr viel Wert auf Know-how im Bereich der operativen und technischen Sicherheit gelegt, künftig brauchen wir mehr Expertise im Bereich Sicherheits- und Risiko-Management.

Im Rahmen des Workshops wollen wir diskutieren, wie eine moderne Sicherheitsorganisation im Zuge der immer schneller werdenden Digitalisierung aufgestellt sein muss, welche Herausforderungen es an Security-Experten in der Zukunft gibt und welche Fähigkeiten und Fertigkeiten wir dafür morgen brauchen. Unter anderem wollen wir dazu folgende Fragen diskutieren bzw. beantworten:

• Wie wird sich das Berufsbild eines CISOs wandeln?
• Was qualifiziert einen CISO in Zukunft und was muss er/sie können?
• Wie schließen wir die Kluft zwischen Technik- und Geschäftsebene?
• Welche Karrierepfade gibt es in der Cybersecurity und welche Jobprofile brauchen wir in Zukunft?
• Wie begegnen wir erfolgreich dem derzeitigen Fachkräftemangel?
• Universität, berufsbegleitende Qualifikation oder Quereinstieg: Wie wird man zum Cybersecurity-Profi?



>Workshop 2:
Cyber Security von Morgen
Bedrohungen durch digitale Trends
Workshopleitung: Abdou Naby Diaw, Vodafone GmbH
Prof. Dr. Gabi Dreo Rodosek, UniBw München

Digitalisierung, Data Driven Business Model Innovation und die ultimative Vernetzung gehören zu den unaufhaltbaren Trends unserer Zeit. Sie sind zugleich wesentliche Treiber für Cyber-Sicherheit und bilden damit den Rahmen der täglichen Arbeit und der strategischen Ausrichtung der Sicherheitsorganisation des Unternehmens, insbesondere für den CISO/CSO bzw. den Sicherheitsverantwortlichen. Während der aktuelle Digitalisierungstrend und neue digitale Geschäftsideen zunehmend alle Bereiche der Wirtschaft, Verwaltung, Gesellschaft etc. erfassen, besteht in vielen Unternehmen eine große Unsicherheit, wie dieser Wandel risikoarm gestaltet werden kann.

Die Herausforderung besteht darin, mit dem notwendigen Business-Fokus passende Strategien zum Umgang mit Bedrohungen in diesem Umfeld zu entwickeln. Sicherheitsexperten haben also nicht nur eine besondere Verantwortung dafür, die Sicherheitsrisiken der Digitalisierung zu identifizieren und Strategien zu deren Mitigation zu entwickeln; sie stehen auch in der Pflicht und nicht selten unter dem Druck, dass es sich Unternehmen nicht leisten können, diese Trends zu verpassen. Das ist der Maßstab des Erfolgs oder des Scheiterns.

Der CISO/CSO bzw. der Sicherheitsverantwortliche benötigt nicht nur technische Skills zum Schutz der Unternehmensinfrastruktur, er braucht vor allem eine Cyber-Sicherheitsstrategie, die er gegenüber seinen Fachbereichen vertritt und gegenüber seiner Geschäftsführung verantwortet. Digitale Transformationsvorhaben, mobile Arbeitsplätze, Cloud, Industrie 4.0/IoT-Anwendungsfälle, die Verzahnung der Office-IT mit der Produktions-IT, zunehmend gezielte oder maßgeschneiderte Angriffe, wachsende Cyberkriminalität sowie gesetzliche und regulatorische Vorgaben an die Datensicherheit und den Datenschutz müssen unter Berücksichtigung der digitalen Bedrohungen in Einklang mit der Cyber-Sicherheitsstrategie des Unternehmens gebracht werden. Neben der eigentlichen Security-Kompetenz muss ein „Executive Security Manager“ unserer Zeit auch rechtliche Entwicklungen und den Business-Impact klar im Blick haben.

Die Teilnehmer erarbeiten gemeinsam, was die heutigen und zukünftigen Cyber Security-Trends ausmacht und wie eine Cyber-Sicherheitsstrategie effizient entwickelt und in überschaubaren Schritten praxisnah umgesetzt werden kann.



Workshop 3:
Cyber Crisis Management
Erfolgsfaktoren für den Worst Case
Workshopleitung: Axel Allerkamp, Axel Springer SE
Prof. Dr. Dirk Labudde, HS Mittweida

Plötzlich ist sie da: die Cyberkrise. Sie bedroht essenzielle Werte des Unternehmens oder gar das Unternehmen in seiner Gesamtheit.

Unser Workshop wird sich in zwei Schwerpunkte aufgliedern. In einem ersten Teil werden anhand einer Fallstudie das Wesen sowie die entsprechenden Fragestellungen und Herausforderungen einer Cyberkrise herausgearbeitet. Hierauf aufbauend werden wir im Anschluss ein generisches Rahmenwerk zur Vorbereitung und Durchführung einer unternehmensinternen Krisenstabübung „Cyber“ entwerfen.

Krisen haben ihre eigenen Regeln. Das primäre Ziel einer zeitnahen Führungsfähigkeit in derartigen Situationen verlangt jedoch das bewusste und vorherige Auseinandersetzen mit sehr unterschiedlichen Aspekten. So sind beispielsweise folgende Fragen zu beantworten:

• Welche Informationen unter den Aspekten der Komplexität, Dynamik und auch Widersprüchlichkeit werden benötigt, um in Cyberkrisen Entscheidungen zu treffen? Wie können die relevanten Informationen erfasst, verifiziert und genutzt werden?
• Welche Qualifikationen sollten die Beteiligten besitzen, um die Situation zu beherrschen? Welche Beteiligte sind sinnvoll oder hilfreich?

In unserem Workshop soll ein umfassendes Grundverständnis zum Thema der Cyberkrise erarbeitet werden. Hieraus leiten sich effektive und praxistaugliche Vorgehensweisen, Methoden und Hilfsmittel ab.

Mindestens in den Kategorien
• Komplexität und Dynamik
• regulatorische Anforderungen
• Führung und Kollaboration
• „handwerkliches“ Können und Wissen
• Kommunikation
• Vorbereitung und Übung
werden zweckmäßige Ansätze erörtert und entwickelt.

Die Workshop-Teilnahme schafft Klarheit und Transparenz und gibt Impulse, um sich individuell auf den Ernstfall vorzubereiten.



Workshop 4:
Security for Safety
Wie gelingt die Synthese?
Workshopleitung: Dr. Matthias Drodt, Deutsche Bahn AG
Prof. Dr. Jens Braband, Siemens AG

Der Roman „Blackout” von Marc Elsberg zeigt auf sehr eindrucksvolle Weise die Anfälligkeit einer vernetzten Gesellschaft nach dem Zusammenbruch der Stromversorgung. Neben der zunehmenden Digitalisierung nahezu aller unserer Lebensbereiche erleben wir aktuell eine starke Durchdringung der Informationstechnik in die Steuerung von Industrieanlagen und -prozessen. Zu nennen sind beispielsweise der Transportbereich, die Versorgung mit Strom und Wasser sowie die Telekommunikation. Die fortschreitende Vernetzung von bisher gekapselten Systemen macht diese Infrastrukturen ebenfalls anfällig für die zunehmenden Cyberbedrohungen. Erste Cyberangriffe auf solche Industrieanlagen waren bereits erfolgreich. Neue Trends – wie Internet of Things (IoT) oder der großflächige Einsatz von Videoüberwachungen – werden dies zukünftig noch massiv verstärken. Im Jahr 2020 werden mehr als 20 Milliarden Geräte mit dem Internet verbunden sein (ohne PCs und Smartphones). Der Begriff Sicherheit steht sowohl für den Schutz vor Angriffen von außen (Security), als auch für das sichere Funktionieren (Safety) der Systeme.

Im Workshop wollen wir gemeinsam mit Ihnen Antworten auf Fragen finden wie
• Was sind Unterschiede bzw. Gemeinsamkeiten von Security und Safety?
• Welche spezifischen Cyberbedrohungen sind für Industrieanlagen und -prozesse von besonderer Relevanz?
• Welche Anforderungen stellt das IT-Sicherheitsgesetz?
• Können bestehende Prozesse und Richtlinien von der „klassischen“ IT-Sicherheit übernommen werden bzw. welche Anpassungen sind notwendig?
• Welche Standards und Normen spielen eine Rolle?
• Wie sehen mögliche Referenzarchitekturen bzw. Sicherheitsmaßnahmen aus?
• Wie können Zertifizierung und Zulassung optimiert werden?
• Gibt es bereits erprobte Best-Practice-Ansätze?

Ziel des Workshops ist es, neben der Abgrenzung der Begrifflichkeiten, für aktuelle Fragen und Herausforderungen zusammen konkrete Antworten zu erarbeiten. Hierbei sollen sowohl die Blickwinkel der Hersteller als auch der Betreiber beleuchtet werden.

Auf Basis von Impulsvorträgen und einer lebhaften und kreativen Teamarbeit wollen wir im Workshop gemeinsame Lösungsansätze entwickeln. Diese können von den Teilnehmern adaptiert und mit in ihre Organisationen genommen werden.



Workshop 5:
Stronger Together
Best Practice für die Zusammenarbeit von Sicherheitsbehörden und Privatwirtschaft.
Workshopleitung: Dr. Stefan Grosse, Bundesministerium des Innern
Prof. Timo Kob, ASW Bundesverband

Anhand der unterschiedlichen Sichtweisen, Erfahrungen, Verantwortlichkeiten und Zuständigkeiten von Wirtschaft und Staat wird im Rahmen des Workshops von den Teilnehmern gemeinsam eine „Cybersicherheitsarchitektur Deutschland“ entworfen.

Basierend auf dem Status quo und den existierenden rechtlichen Rahmenbedingungen beantworten wir gemeinsam die Fragen, was bereits gut funktioniert und wo die aktuellen und künftigen Herausforderungen sowohl für die einzelnen Akteure als auch gesamtgesellschaftlich liegen.

Zur Erarbeitung des Gesamtbildes sollen aus dem Blickwinkel der einzelnen Beteiligten (Unternehmen und Behörden) sowohl deren Beiträge als auch die Erwartungen an die jeweils anderen zusammengetragen und erörtert werden.

Wesentliche Grundlage dafür ist der Erfahrungsaustausch und der Blick über die eigenen Unternehmens-, Behörden- aber auch Ländergrenzen hinweg, um zu schauen, was wir von den anderen lernen können.

Ziel des Workshops ist die Entwicklung eines Zielbildes und gemeinsamen Verständnisses einer „Cybersicherheitsarchitektur Deutschland“ für eine bessere Zusammenarbeit aller Akteure in diesem Bereich.

Die einzelnen Teilnehmer profitieren dabei von den Erfahrungen der anderen Teilnehmer, deren Cybersicherheitsaufstellung sowie von der Darstellung bereits vorhandener Kooperationsmöglichkeiten und -modelle.

Im Ergebnis wird der Workshop eine Gesamtarchitektur entwerfen, in der die Rolle der einzelnen Akteure dargestellt sowie die Anforderungen an jeden Einzelnen im Normal- sowie im Krisenfall benannt werden.

Um einen möglichst hohen Praxisbezug herzustellen, werden die Überlegungen sowohl für den Normalfall als auch für einen fiktiven Vorfall anhand von Szenarien diskutiert und bearbeitet.



Workshop 6:
Strategische Simulation Cyberangriff
Sind Sie wirklich vorbereitet?
Workshopleitung: Michael Bartsch, Zukunftsforum Öffentliche Sicherheit e.V.
Dr. Stefanie Frey, Cyberexpertin Strategy and Policy

Jeder CISO wird im Fall eines Cyberangriffs für die Durchführung aller Maßnahmen zur Schadensminimierung und zur schnellen Wiederherstellung der Systeme verantwortlich sein.

Anhand einer Fallstudie wird aufgezeigt, wie ein Cyberangriff durchgeführt wird und welche Aufgaben auf den Vorstand respektive auf die Geschäftsleitung zukommen.

Dabei geht es nicht um die Technologie eines Angriffs, sondern um das Verständnis, warum ein Angriff erfolgt, welche Vorbereitungen zu treffen sind und wie Entscheidungen zustande kommen.

Die Teilnehmer werden einen komplexen Cyberangriff untersuchen und hierbei die Maßnahmen und Mechanismen erarbeiten, die sie benötigen, um eine Cyberkrise abzuwenden.

Nach einer eingehenden Umfeld- und Problemanalyse ermitteln wir in Gruppenarbeit u. a. mit der AEK-Methode (Aussage – Erkenntnis – Konsequenz) effektive Maßnahmen sowie hierfür notwendige Voraussetzungen und erstellen einen Fahrplan zur Strategieentwicklung. Die Möglichkeiten der Strafverfolgung sowie der Nachrichtendienste werden ebenfalls berücksichtigt.

Ziel des Workshops ist es, anhand der Fallstudie die Ergebnisse auf die eigene Organisation projizieren und die Trainingsresultate dort in konkreten Maßnahmen zur Erhöhung der Cybersicherheit umsetzen zu können.