"Hype um Blockchain stößt mir sauer auf"

Was sind die wichtigsten Dinge, die ein Anwenderunternehmen beachten sollte, bevor es sich Gedanken um eine eigene Security-Strategie macht?

Sebastian Rohr: Die Aussage "Besser gut kopiert als schlecht selbst gemacht" kann in vielen Fällen auch auf das kritische Thema der IT-Sicherheit Anwendung finden. Es gibt eine Vielzahl an hervorragenden Quellen auf nationaler und internationaler Ebene. Insbesondere die deutschen Verbände Bitkom, VDMA, ZVEI und natürlich das Bundesamt für Sicherheit in der Informationstechnik BSI bieten eine Vielzahl von orientierungsgebenden Leitfäden, Vorlagen und Richtlinien, an denen sich die Security-Strategie eines Unternehmens orientieren kann.

Beim Blick über den Tellerrand fallen besonders positiv die ENISA als europäisches Pendant zum BSI sowie die englische Heimatschutzbehörde als Quelle für die Absicherung kritischer Infrastrukturen auf. Keine dieser Quellen kann jedoch sinnvoll eingesetzt werden, wenn sich die Unternehmen nicht Gedanken über ihre eigene Wertschöpfung, die dahinterliegenden Geschäftsprozesse, die darunterliegende IT und Anwendungslandschaft sowie deren jeweilige Bedrohungen, Schwachstellen und daraus abgeleiteten Risiken machen. Ohne dieses grundlegende Verständnis für die eigene Sachlage im Bereich der offenen IT-Risiken kann auch keine ordentliche Security-Strategie abgeleitet und definiert werden. Am Anfang muss quasi eine Nabelschau zu den IT-Risiken erfolgen.

Fortbildung das A und O

Gerade in der IT-Security ist in Deutschland ein großer Fachkräftemangel zu spüren, viele offene Stellen und händeringend suchende Unternehmen zeugen davon. Wie lässt sich dem abhelfen?

Sebastian Rohr: Hier möchte ich Ihnen drei Varianten anbieten: erstens Fortbildung. Zweitens Fortbildung. Drittens Fortbildung. Es ist zwecklos, darauf zu hoffen, dass der derzeitige Fachkräftemangel nur durch Nachwuchs aus der internen Ausbildung oder durch Jungakademiker gedeckt werden kann. Zwar bilden diese beiden Gruppen die größten Potenziale für die zukünftige Abdeckung des Bedarfs; kurz bis mittelfristig muss jedoch auf bestehendes, erfahrenes Personal zurückgegriffen werden - mit einer über Ausbildung weit über die etablierte Ausbildungslinie hinaus.

So ist es unerlässlich, den bereits vorhandenen IT-Spezialisten und -Sicherheitsexperten Einblicke in die Automatisierung und die cyberphysischen Systeme zu geben. Umgekehrt ist es erforderlich, den Automatisierungsexperten und Instandhaltern den Zugang zu mehr IT-Wissen zu erschließen und entsprechende operative Erfahrung durch Austausch mit der IT zu ermöglichen. Dieser Ansatz der übergreifenden Fortbildung schafft zudem ein deutlich besseres Verständnis für die Sorgen und Nöte der jeweils anderen Seite. Darüber hinaus erleichtert sie im Nachhinein die Kommunikation der eigenen Anforderungen und hilft, auf die Einschränkungen der Gegenseite Rücksicht nehmen zu können.

Abschließende Frage: Warum empfehlen Sie, an unserem Anwenderseminar "Cybersecurity" teilzunehmen?

Sebastian Rohr: Das Seminar bietet Entscheidern ein breites Spektrum an Einblicken sowohl aus aktuellen Themen der Forschung und Entwicklung über operative Themen der IT-Sicherheit bis hin zu technologischen und organisatorischen Trends der Informationssicherheit. Hochkarätige Referenten führen jeweils in überschaubaren Abschnitten in ein Thema ein und ermöglichen danach den fachlichen Austausch zwischen den Teilnehmern. Gerade dieser Austausch auf Augenhöhe, inspiriert durch die Anstöße der Referenten, bietet aus meiner Sicht den größten Mehrwert. Und seien wir ehrlich: Der Standort München ist immer eine Reise wert.

Für das Cybersecurity-Seminar 2018 sind noch wenige Plätze frei. Melden Sie sich jetzt an!

Rückblick Cybersecurity-Seminar 2017: