108702_German_d1_Palo_Alto-interior_doc

Darüber hinaus hat die Europäische Kom- sondern auch in anderen Sektoren wie Ener- mission im ersten Halbjahr 2018 folgendes gieversorgung, Gesundheitswesen, Bildungs- bewirkt: wesen, Kultur- und Kreativwirtschaft und dem • EU-Blockchain-Beobachtungsstelle und öffentlichen Sektor. Diese Entschließung ver- deutlicht die feste Entschlossenheit des Europäi- -Forum wurden eingerichtet, um relevante schen Parlaments, ein starker Akteur im Bereich Blockchain-Initiativen zu erfassen, Erfah- Blockchain zu sein. Daher ist Rechtssicherheit rungen auszutauschen und Fachwissen über von größter Bedeutung, um Blockchain-basier- Blockchain auf EU-Ebene zu bündeln und te Projekte und Investitionen sicher auf den Weg auszubauen. zu bringen. • Der FinTech-Aktionsplan wurde veröffent- licht, der der Finanzbranche helfen soll, Im Jahr 2018 wurden im Europäischen Par- schnelle technologische Fortschritte wie lament zahlreiche Veranstaltungen zu Block- Blockchain und andere IT-Anwendungen zu chain-Anwendungen organisiert. Es besteht ein nutzen und Cyber-Sicherheit zu stärken. deutlicher Trend, dass die Technologie anerkannt • Es wurde damit begonnen, den Bedarf an und und besser verstanden wird. Das neueste Doku- den Nutzen einer Blockchain-Infrastruktur in ment, das im Europäischen Parlament diskutiert der EU zu ermitteln. Ziel der Machbarkeits- wird, ist sein eigener Initiativbericht „Blockchain studie ist die Schaffung der richtigen Bedin- – eine zukunftsorientierte Handelspolitik“. Zum gungen für die Einführung eines offenen, Zeitpunkt dieser Veröffentlichung wird im Aus- innovativen, vertrauenswürdigen, transparen- schuss für internationalen Handel daran gearbei- ten und mit EU-Recht konformen Daten- tet. Der Initiativbericht schlägt vor, im Detail zu und Transaktionsumfelds. untersuchen, wie Handelsabkommen den Ein- • Die Zusammenarbeit mit Normungsorgani- satz von Distributed-Ledger-Technologien und sationen (ISO, ITU-T, möglicherweise IETF, Blockchain zur Unterstützung und Vereinheitli- IEEE) wurde fortgesetzt. chung von Zollabkommen erleichtern können. • Die Unterstützung von Forschungs- und Ein wesentlicher Vorteil der Anwendung von Innovationsprojekten in verschiedenen Be- Blockchain in Zollabkommen liegt im Potenzial reichen wurde fortgesetzt. zur Reduzierung betrügerischer Transaktionen. • Weitere Projekte auf EU-Ebene wurden Daher könnten durch den Einsatz einer sicheren unterstützt: EFTG, Horizon Prize on Block- Datenbank Umfang und Sicherheit internatio- chains for Social Good, PoC TAXUD (Steu- naler Handelsabkommen revolutioniert werden. erwesen und Zoll). Darüber hinaus wird im Bericht das Potenzial für • Die Initiativen der Mitgliedstaaten auf die EU bewertet, Distributed-Ledger-Technolo- EU-Ebene wurden konsolidiert. gien zur Entwicklung sicherer Smart Contracts Am 16. Mai 2018 hat der Ausschuss für In- mit Handelspartnern in internationalen Han- dustrie, Forschung und Energie des Europäischen delsabkommen zu nutzen. Parlaments eine Blockchain-Entschließung ver- abschiedet. Wir hoffen, dass sie bis zur Veröffent- Trotz all dieser laufenden Aktivitäten halte lichung dieses Buches vom gesamten Parlament ich es für wichtig, die Branche selbst wachsen zu gebilligt wurde. Der Entschließungsantrag be- lassen und abzuwarten, wohin die Reise geht. Ich fürwortet eine aufgeschlossene, progressive und bin kein Informatiker, was auch für meine Politi- innovationsfreundliche Regulierung der Block- kerkollegen gilt. Wir wissen nicht genau, wohin chain-Technologie. Das Dokument befasst sich der Weg der Technologie führen wird. Aber wir mit der Implementierung der Blockchain-Tech- sollten alle offen und aufmerksam sein – und nologie, nicht nur im Finanztechnologiesektor, wir sollten auf jeden Fall die Menschen weiter- hin über Blockchain, Cyber-Sicherheit und ver- wandte Themen informieren. Darüber hinaus sollten wir diese Art von Pro- jekten weiterhin finanzieren, denn es ist wichti- ger, einen Beitrag zu leisten, als nur Profit zu Die Leistungsfähigkeit von Blockchain ausschöpfen 287

machen. Die intelligenten jungen Menschen, die Arten von Organisationsstrukturen zu schaffen, diese Technologie entwickeln und nutzen, soll- die die ökonomische und Machtdynamik tradi- ten in Ruhe gelassen werden, damit sie die Bran- tioneller zentralisierter Institutionen verändern che weiter voranbringen. Die Aufmerksamkeit können. Die Technologie gibt den Daten der für diese Technologie sollte weiter erhöht werden Menschen Freiheit und fördert somit neue For- und sie sollte alle Möglichkeiten erhalten, sich men von gemeinsamem demokratischem Han- weiterzuentwickeln und zu florieren. deln, Sicherheit, Vertrauen und Transparenz im Alltagsleben. Wie weit dieses Potenzial und seine Fazit Umsetzung reichen, hängt von uns und unse- Die Blockchain-Technologie birgt ein immen- rer Fähigkeit ab, uns dessen zu bedienen, was die ses Potenzial, reale Probleme zu lösen und neue Technologie bietet. 1 „Santander: Blockchain Tech Can Save Bands $20 Billion a Year“, Coindesk, 16. Juni 2015 2 „How Blockchain is Changing Finance“, Harvard Business Review, 1. März 2017 3 „Blockchain in Retail Market Worth 2339.0 Million USD by 2023“, MarketsandMarkets, Juni 2018 4 „With at least $1.3 billion invested globally in 2018, VC funding for blockchain blows past 2017 totals“, TechCrunch, 20. Mai 2018 5 „Dealbook: Demistifying the Blockchain“ The New York Times, 27. Juni 2018 6 „ASX Head Says New DLT System Could Save Billions“, Coindesk, 16. August 2018 7 Blockchain Conference: „Blockchain - Game Changer of the 4th Industrial Revolution“ im Europäischen Parlament, https:// www.youtube.com/watch?v=F7X9AS4AR9w&t=786s 8 „The Bank of Lithuania to launch blockchain sandbox platform-service“ https://www.lb.lt/en/news/the-bank-of-lithuania-to- launch-blockchain-sandbox-platform-servic 288 Technologie

44 Was Sie in Sachen Schatten-IT nicht wissen – und worauf Sie nicht vorbereitet sind –, kann Ihnen schaden Alice Cooper – Global Head of Derivative Trade Processing IT, BNP Paribas CIB In einem schnelllebigen und dynamischen Ge- Warum und wie sich Schatten-IT schäftsumfeld sind Unternehmen mehr denn je durchsetzen konnte auf ihre IT-Teams als Voraussetzung für Wachs- Dieser Trend, weithin als Schatten-IT bekannt, tum, Innovation und Differenzierung im Wett- hat sich in Unternehmen aller Größen, Branchen bewerb angewiesen. Mit diesen steigenden und Regionen zunehmend etabliert. Während Anforderungen ist ein komplexer Balanceakt einige Unternehmen diese Praxis stillschweigend zwischen Angebot und Nachfrage entstanden: unterstützen, sind sich andere leichtfertig ihrer Wie können die IT-Services und -Ressourcen be- Existenz nicht bewusst. Ungeachtet dessen hat reitgestellt werden, die von allen benötigt werden Schatten-IT gravierende Auswirkungen auf die – von den Anwendern in den Fachbereichen bis Cyber-Sicherheit. zur Chefetage? Was genau ist eigentlich Schatten-IT? Das Viele Fachanwender sind frustriert und un- global agierende IT-Beratungs- und Markt- geduldig geworden, weil die IT-Abteilungen forschungsunternehmen Gartner bringt es auf nicht in der Lage sind, ihre geschäftlichen An- den Punkt: forderungen mit neuen Systemen, Anwendun- gen und Diensten zügig und kostengünstig zu „Schatten-IT bezieht sich auf IT-Geräte, erfüllen. Doch die bittere Wahrheit ist, dass alle Software und Dienstleistungen, nach mehr Unterstützung und Einsatzwillen der IT-Organisation zu einer Zeit verlangen, in der die nicht im Besitz oder unter der Kontrolle IT-Budgets nicht schnell genug – und biswei- von IT-Abteilungen sind.“1 len gar nicht – steigen, um mit den rasanten und immer anspruchsvolleren Benutzeranforderun- Vor nicht allzu langer Zeit war die Vorstel- gen Schritt zu halten. lung einer Schatten-IT-Abteilung grotesk. IT war eine komplizierte Materie, die auf fundier- Noch wichtiger ist vielleicht die Tatsache, tem, oft obskurem Fachwissen und dem Zu- dass die Einstellung von IT-Fachkräften in vie- gang zu teurer Computerinfrastruktur gründete. len Branchen trotz wiederholter Anfragen nach Doch das hat sich drastisch geändert. Die heu- mehr Programmierern, Anwendungsentwick- tigen Mitarbeiter – und nicht nur die Genera- lern, Systemanalysten, Datenwissenschaftlern, tion Y, die anscheinend mit ihren zahlreichen Helpdesk-Mitarbeitern und – ja, mehr Sicher- WLAN-Geräten verbunden geboren wurde – heitsexperten – stagniert. Da aber Not erfinde- sind weitaus IT-versierter und ohne Weiteres in risch macht, haben sich die Fachanwender eine der Lage, Applets zu schreiben, drahtlose Netz- einfache Lösung ausgedacht: „Wir machen das werke einzurichten, virtuelle Maschinen bereit- einfach selbst.“ zustellen und digitale Sandboxes für kurzfristige Projekte aufzusetzen. 289

Und dann ist da noch die Cloud. Erschwing- Doch was einst wie ein kreativer Weg aussah, liche, leicht zugängliche Cloud-Services haben den IT-Engpass auf dem Weg zu digitaler Trans- Fachanwendern geholfen, ihre eigenen Syste- formation zu umgehen, ist mittlerweile ein Pro- me einzurichten und IT-Services über eine ein- blem. Und zwar ein großes. fache Kreditkartentransaktion zu beziehen, und das alles ohne die Benachrichtigung, Überprü- Die Auswirkungen von Schatten-IT fung, Genehmigung und Kontrolle der klassi- auf die Cyber-Sicherheit schen IT-Abteilung. Durch Schatten-IT werden die Cyber-Sicher- heitsbedrohungen eines Unternehmens in vie- Infolgedessen ist Schatten-IT nicht nur ein lerlei Hinsicht und aus vielen Gründen deutlich bedeutender Faktor für die Entwicklung und Be- größer. Zu Schatten-IT kommt es in der Regel reitstellung von IT-Services geworden, sondern mit den besten Vorsätzen, vor allem aber ohne auch ein oft verborgenes Phänomen unter dem böse Absicht. Aber die Auswirkungen können Radar von IT-Leitern und Geschäftsführern. fatal sein. Eine Studie ergab, dass 72 % der Unternehmen den Umfang der Schatten-IT in ihren Unterneh- Schatten-IT ist aus den folgenden Gründen men nicht kennen, aber gerne kennen würden.2 heute so alltäglich und problematisch: Eine weitere Studie wies auf einen Hauptgrund • Der dramatische Anstieg von „Bring your für diese Abkopplung hin: CIOs unterschät- zen im Durchschnitt erheblich die Anzahl der own device“-Richtlinien (formal und ander- Cloud-Services, die in ihren Unternehmen zum weitig), die zu einer Menge von nicht verwal- Einsatz kommen. Wie erheblich? Um einen Fak- teten und ungeschützten oder unzureichend tor von mehr als 14 zu 1.3 geschützten Geräten auf der falschen Seite Ihrer Firewalls geführt haben. Vielen Unternehmenslenkern und Aufsichts- • Mangelnde Transparenz und Kontrolle des räten erscheint die Schatten-IT-Bewegung wie eingehenden/ausgehenden Datenverkehrs, ein intelligenter, ja notwendiger Lösungsansatz was oft zu einer Gefährdung der Dateninte- für ein Problem: die wachsende Kluft zwischen grität und einem erheblichen Datenverlust Nachfrage (nach mehr IT-Services und -Lösun- führt. gen) und Angebot (von IT-Fachkräften, um die • Die wachsende Beliebtheit des Internets der Anforderungen zu erfüllen). Zuerst lobten Un- Dinge, das sich sowohl in neuartigen Gerä- ternehmensleiter, die von ihren Abteilungsver- ten mit oft mangelnder Sicherheit als auch antwortlichen über dieses Problem informiert in nicht autorisierten Projekten manifestiert, worden waren, oft die Kreativität und Innova- die zwar spannend und voller geschäftlicher tionskraft bei der Suche nach organischen, er- Möglichkeiten sind, aber sensible Daten wie schwinglichen Lösungen für ein Problem. Diese durch ein Sieb austreten lassen können. Neigung zum Handeln wird gewiss von Füh- • Eine zunehmend mobile/virtuelle Beleg- rungskräften in ihren Teams weitgehend unter- schaft, in der Mitarbeiter – aber auch Kun- stützt und sogar gefördert. den, Lieferanten und Partner – häufig über offene Netzwerke, die leicht gehackt werden CIOs, CISOs und andere technische Füh- können, auf sensible Daten zugreifen. rungskräfte haben fieberhaft daran gearbeitet, Wie ich bereits eingangs in diesem Kapitel die wachsende Nachfrage nach IT-Services und erwähnt habe, lauert Schatten-IT oft unter dem -Tools zu erfüllen. Ihr Ziel ist es, ihre Unter- Radar der IT-Abteilung der Unternehmen und ist nehmen bei der Lösung strategischer Probleme damit außerhalb der Kontrolle von Geschäftsfüh- zu unterstützen, angefangen bei der Erkennung rern und Vorständen, die letztlich die Verantwor- neuer Wettbewerbsbedrohungen und der Sen- tung für alle Cyber-Sicherheitsprobleme tragen. kung der Kosten für die globale Lieferkette bis Doch wie gravierend ist das Problem? Ich zum Schürfen neuer Daten, um intelligente- gebe Ihnen ein Beispiel, um Ihrer Fantasie freien re und schnellere Entscheidungen zu treffen. Sie zielen darauf ab, dem Unternehmen durch den Einsatz nützlicher Technologien zum Erfolg zu verhelfen, und möchten dafür mit Kollegen zusammenarbeiten. 290 Technologie

Lauf zu lassen. Eine Forschungsstudie ergab, dass Sanktionen? Ja. 80 % der IT-Experten angaben, ihre Endbenut- In meinem Unternehmen ist die Schulung zer hätten sie umgangen, um nicht genehmig- te Cloud-Services einzurichten.4 Und möchten in Sachen Cyber-Sicherheit Pflicht. Diese Schu- Sie wissen, was wirklich beängstigend daran ist? lung wurde auf Themen wie Schatten-IT ausge- Diese Daten sind fünf Jahre alt und wurden zu weitet, sodass jeder weiß, welche Auswirkungen einer Zeit erhoben, als Cloud-Services noch in die Missachtung von Sicherheitsvorgaben haben den Kinderschuhen steckten. Sie können sich kann. Erklären Sie Ihren Mitarbeitern, die als ausmalen, wie verbreitet das Problem heute ist „Laienentwickler“ agieren und Anwendungen in und in Zukunft sein wird. Die Frage ist, was Sie die Tat umsetzen, was passieren kann. dagegen tun sollten. Ich weiß, dass alle aufstöhnen werden, wenn Die Herausforderungen es darum geht, Schulungen in den arbeitsreichen in den Griff bekommen Tag der Mitarbeiter einzubauen. Aber diese Sit- Glücklicherweise gibt es einige vernünftige zungen müssen gar nicht lange dauern. Sie kön- Schritte, die Unternehmen ausführen können nen den Mitarbeitern eine Lektüre an die Hand und sollten, um die möglichen negativen Auswir- geben, die sie in ihrer Freizeit durchgehen kön- kungen der Schatten-IT auf die Cyber-Sicherheit nen. Aber unbedingt notwendig ist es, formelle zu minimieren. Ich denke nicht, dass Unterneh- Schulungsprogramme zu diesem Thema zu ent- men drakonische Maßnahmen einleiten soll- wickeln, insbesondere für neue Mitarbeiter, die ten, um die Initiative und Handlungsfreiheit in das Unternehmen eintreten. Tests sind auch IT-versierter Mitarbeiter einzuschränken. Es gibt ein guter Schritt, um sich zu vergewissern, dass jedoch einige vernünftige, zusammenarbeitsori- Benutzer mit den Zielen und Vorgaben vollstän- entierte Ansätze, die zu stärkeren Partnerschaften dig vertraut sind. zwischen handlungsfreudigen Fachanwendern und Sicherheits- und IT-Experten führen kön- Es gibt Zeiten, in denen Sanktionen – wie nen, deren Aufgabe es ist, die Daten und IT-Res- das Sperren nicht autorisierter Anwendungen sourcen des Unternehmens zu schützen. oder des Zugriffs auf bestimmte Cloud-Services – erforderlich sein können. Ihre sehr cleveren Dies bedeutet selbstverständlich auch, dass Mitarbeiter wissen vielleicht, wie sie Zugriffs- Unternehmenslenker und Aufsichtsräte (A) an- kontrollen oder die Authentifizierung umge- erkennen müssen, dass das Problem existiert und hen können. Aber wissen sie auch, durch welche möglicherweise verheerende Auswirkungen hat, ihrer Handlungen das Unternehmen Opfer einer und (B) bei der Förderung intelligenter Lösun- Bedrohung in Form von Bestechung oder Er- gen für das Problem federführend sind. Leugnen pressung werden kann? Sind sie sich des daraus ist keine Lösung. resultierenden Imageschadens bewusst? Doch zunächst sollten wir eine wichtige Tat- Auch wenn wir Innovationen nicht im Keim sache im Auge behalten: Die Endbenutzer selbst, ersticken oder kreative Problemlösungen verhin- also vor allem Ihre Mitarbeiter, sind unfassbar dern wollen, sollten Unternehmen eine Botschaft naiv, was das Ausmaß betrifft, in dem sie Ihr Un- der absoluten Null-Toleranz aussenden. Ihre Ge- ternehmen Risiken aussetzen. Sie stellen keine schäftsbereiche beweisen vielleicht Initiative und Zusammenhänge her, obwohl es sich um ein erledigen sogar eigenständig eine sehr spannen- Thema handelt, das zunehmend in den Nach- de Aufgabe, aber wenn dies zu Sicherheitsrisiken richten behandelt und diskutiert wird. Auch führt, können die Nachteile die Vorteile bei Wei- wenn die heutigen Mitarbeiter sehr IT-versiert tem übersteigen. Unternehmen können es sich sind – vor allem die junge Generation –, haben nicht leisten, naiv zu sein, was das Auftreten von sie keine Ahnung, was passiert, wenn sie eine Tür Schatten-IT oder deren potenziell katastrophale blindlings öffnen. Die Missetäter brauchen nicht Auswirkungen betrifft. einmal mehr einen Schlüssel. Die Antwort auf die folgende Frage sollte Wie kann dieses Problem am besten an- Teil des Risikotoleranzprofils jedes Unterneh- gegangen werden? Schulung? Überwachung? mens sein: Was genau gestehen wir unseren Mit- arbeitern zu, damit sie ihre Aufgaben erledigen können? Was Sie in Sachen Schatten-IT nicht wissen – und worauf Sie nicht vorbereitet sind – kann Ihnen schaden 291

Dies führt freilich zu einem weiteren Prob- bietende Chancen schnell und flexibel ausge- lem: das wachsende Ungleichgewicht zwischen nutzt haben. dem, was die Geschäftsbereiche an IT-Services und -Unterstützung benötigen, und dem, was Das bedeutet jedoch nicht, dass Sie rück- die IT-Abteilung liefern kann. Dies dürfte einige sichtsloses Verhalten erlauben oder ignorieren. sehr schwierige, aber wichtige Diskussionen über Sie wissen nicht genau, ob es rücksichtslos ist, es Budgets, Personalkapazitäten, den Einsatz exter- sei denn, Sie verstehen, was vor sich geht und wie ner Dienstleister und die Bewertung von Chan- das Verhältnis von Risiko und Ertrag aussieht. cen und Risiken auslösen. Wenn Sie der Meinung sind, dass Sie von diesem Problem noch nicht betroffen waren, haben Sie Aber wir alle müssen verstehen und einräu- entweder nicht aufgepasst oder Glück gehabt. men, dass wir das Problem erst dann lösen kön- Aber ich kann Ihnen versprechen, dass Ihr Glück nen, wenn wir die eigentlichen Ursachen der Sie nicht vor einer Datenschutzverletzung, einer Schatten-IT angehen. Betriebsunterbrechung, einem Verstoß gegen geltendes Recht oder einer Klage schützen wird. Fazit Trotz des Unbehagens vieler Unternehmen hin- Wie bei so vielen Dingen im heutigen Ge- sichtlich Schatten-IT denke ich nicht, dass Füh- schäftsumfeld ist auch hier ein echtes Geben und rungskräfte Anordnungen zur Untersagung von Nehmen zwischen Fachanwendern, IT-, Sicher- Schatten-IT erlassen sollten. Ich weiß, dass die heits- und Unternehmensleitern erforderlich. meisten Unternehmen – wenn sie in der Lage Sobald jemand in Ihrem Unternehmen ohne sind, mit ihren Teams sehr ehrliche und of- Autorisierung eine eigene IT-Lösung oder einen fene Gespräche zu führen – Fälle hervorhe- eigenen Service aufsetzt, kann es zu großen Pro- ben können, in denen selbstständig handelnde blemen kommen, wenn es keine Diskussion über Mitarbeiter an der IT-Abteilung vorbei diver- die Folgen gibt. se Maßnahmen ergriffen haben, die zu einem Wettbewerbsvorteil geführt haben, weil sie sich Worte mögen manchmal nur Schall und Rauch sein, die Kosten eines Cyber-Sicherheits- problems sind es ganz bestimmt nicht. 1 Gartner IT Glossary, Shadow IT https://www.gartner.com/it-glossary/shadow 2 „Cloud Adoption Practices and Priorities“, Cloud Security Alliance, 2015 3 „CIOs Vastly Underestimate Extent of Shadow IT“, CIO Magazine, 2015 4 „Security, Privacy, and the Shadowy Risks of Bypassing IT“, Spiceworks, 2016 292 Technologie

45 Dank Sicherheit mehr Produktivität Siân John, MBE – Chief Security Advisor, Microsoft Mobiles Arbeiten hat die Art verändert, wie Un- ab, sondern von der Cloud. Ich bin sicher, dass ternehmen ihr Geschäft führen – von den Ent- viele von Ihnen, die dieses Kapitel lesen, zu den wicklungslabors und Fabrikhallen der globalen ersten Anwendern von Tablets gehört haben, Lieferkette bis zum Endkunden. Mobiles Ar- weil sie es Ihnen ermöglichten, Ihre Laptops zu beiten und seine Begleiter – Cloud-Computing, Hause zu lassen und unterwegs trotzdem mit Internet der Dinge und IT-Konsumerisierung – Unternehmensdiensten in Verbindung zu blei- haben neue Wellen von Innovationen ausgelöst, ben. Sie konnten damit dank der Cloud auf Ihre die zu neuen Produkten und Dienstleistungen, geschäftlichen E-Mails zugreifen, Unterneh- einer leistungsfähigen Mitarbeiterschaft, opti- mensdatenbanken durchsuchen oder an Präsen- mierten globalen Lieferkette und einem einge- tationen oder Dokumenten arbeiten. bundenen Kundenstamm geführt haben. So wichtig Geräte für den gesamten Pro- Aber diese und andere mobilitätsorientier- zess des mobilen Arbeitens auch sind, so wichtig te Entwicklungen haben noch etwas anderes be- muss dieser Trend als ein Ökosystem aus Gerä- wirkt: Sie haben die Bedrohungsvektoren für die ten, Anwendungen, Workflows und Diensten Cyber-Sicherheit erheblich erweitert und in eini- betrachtet werden. gen Fällen Schwachstellen aufgedeckt, die unser Streben nach Agilität, Effizienz und Produktivi- Leider bringt mobiles Arbeiten eine Vielzahl tät zu untergraben drohen. Dies ist eine häufige neuer Gefahren mit sich, denen sich zu viele un- Begleiterscheinung beim Übergang zu einer di- serer Unternehmen noch nicht gestellt haben, gitaleren und mobileren Welt. Wir müssen uns von deren Überwindung ganz zu schweigen. aber dieses Risikos bewusst sein und es in den Es sollte kein Vorstands- oder Aufsichtsratsmit- Griff bekommen, wenn wir unsere Ziele errei- glied überraschen, dass WLAN-Netze am Flug- chen wollen. hafen, im Stadion oder in Ihrem örtlichen Café einfache und häufige Ziele von Cyber-Kriminel- Mittlerweile haben Sie zweifellos erkannt, len sind. dass ich eher „mobiles Arbeiten“ als den gängi- geren Begriff „Mobilität“ verwende. Das liegt Wenn wir uns nicht von Anfang an auf in daran, dass ich glaube, dass „Mobilität“ sich in- unsere Produkte, Dienste und Workflows inte- zwischen hauptsächlich auf Geräte bezieht, wo- grierte Sicherheitsmechanismen konzentrieren, hingegen es bei der Arbeit, die man von einem werden wir viele unserer wesentlichen Geschäfts- festen Standort wie einem Büro entfernt erledigt, ziele nicht erreichen. Wenn wir dagegen von An- um viel mehr geht als um Mobilgeräte. fang an auf Sicherheit achten und wirksame und effiziente Sicherheitsvorkehrungen für alle Berei- Zum Beispiel hängt ein Großteil der Flexi- che treffen, werden wir eine noch nie da gewese- bilität, Freiheit und Ausgeglichenheit, die uns ne Welle der Produktivität auslösen. heute in unserem Arbeitsleben zur Verfügung steht, nicht so sehr von kleinen, leichten Geräten 293

Lassen Sie mich meinen Standpunkt deut- Arbeitszeiten verwurzelt, getragen von dem lich machen. Wunsch, berufliche und persönliche Ver- • Sicherheit ist kein Problem der IT. Es ist ein pflichtungen in Einklang zu bringen, von den Realitäten der globalen Ökonomie und der Not- Problem des gesamten Unternehmens und wendigkeit, dass viele sogenannte Wissensarbei- erfordert die Unterstützung und Führungs- ter sofort auf eine aufkeimende Idee, auf einen qualitäten von Geschäftsführern, IT- und Funken Brillanz reagieren. Sicherheitsexperten, Aufsichtsratsmitgliedern und Endbenutzern. Um dies zu erreichen, ist in unseren Geräten, • Die finanziellen Kosten für Sicherheitsmaß- Anwendungen und Geschäftsprozessen inhä- nahmen in Produkten, Diensten und Work- rente Sicherheit erforderlich. Und wenn unse- flows stehen in keinem Verhältnis zu den re Unternehmen nicht von Anfang an Schritte langfristigen wirtschaftlichen Vorteilen und unternehmen, um Sicherheit zu gewährleisten, den Kosten für die Beseitigung von Proble- werden die Aufsichtsbehörden an unsere Türen men nach dem Auftreten. klopfen. Die neue Datenschutz-Grundverord- • Systeminhärente Sicherheit schafft Vertrau- nung (DSGVO) verlangt, dass wir automatisch en bei allen Anwendern, was wiederum die die Maßnahmen ergreifen, die wir schon immer Produktivität fördert und wirtschaftlichen hätten ergreifen sollen, was Schutz und Verwal- Nutzen bringt. tung personenbezogener Daten betrifft. Wir müssen sicherstellen, dass wir unseren eigenen Erwartungen an die Bewältigung dieser Wenn es um sicheres mobiles Arbeiten geht, Probleme gerecht werden. haben die DSGVO und andere Datenschutzver- ordnungen einfach die Kosten für Nichthandeln Was sicheres mobiles Arbeiten erhöht, was meiner Meinung nach eine sehr gute zur Produktivität beiträgt Sache ist. Es ist wichtig, zu verstehen und zu akzeptieren, dass es beim mobilen Arbeiten keine Produktivi- Warum es keine digitale Transformation tät ohne Sicherheit gibt, d. h. Sicherheit, die von ohne die notwendige Sicherheit für Anfang an in die Produktentwicklung oder Ge- mobiles Arbeiten geben kann schäftsprozesserstellung integriert ist. Wenn es einen Begriff gibt, der von Führungs- kräften häufiger in den Mund genommen wird Bevor mobiles Arbeiten zum anerkann- als „digitale Transformation“, dann habe ich ihn ten Standard wurde, taten die Mitarbeiter es nicht gehört. Inzwischen haben sich Unterneh- im größtmöglichen Umfang, um ihre Auf- menslenker und Aufsichtsratsmitglieder dem gaben zu erledigen. Aber sie taten es, indem Gedanken verschrieben, IT-Technologie zum sie private E-Mail-Konten auf privaten Gerä- Erreichen von Unternehmenszielen einzusetzen, ten verwendeten, die nicht die gleichen Sicher- insbesondere wenn es darum geht, unsere intel- heitsvorkehrungen wie ihre Arbeitsplatzkonten ligenten, kreativen Mitarbeiter von routinemäßi- hatten. Sie konnten auf sensible Daten zugrei- gen, wiederholbaren Aktivitäten zu befreien, die fen, die über E-Mail-Konten gesendet wurden mithilfe von IT einfach erledigt werden können. oder über persönliche Abonnements für öffentli- che Cloud-Dienste verfügbar waren, z. B. Patien- Um die Ziele der digitalen Transformation tenakten über Gmail oder Skizzen von geistigem zu erreichen, müssen Unternehmen sich auf drei Eigentum, die in ein privates Dropbox-Konto Bereiche konzentrieren: heruntergeladen wurden. • verstärkter Einsatz von Cloud-Plattfor- Die Fähigkeit, überall und jederzeit zu arbei- men zur Beschleunigung der Bereitstel- ten und von zu Hause oder unterwegs auf Daten lung von IT-Services für das Erreichen von und Anwendungen zuzugreifen, ist für die Mit- Geschäftszielen arbeiterproduktivität von zentraler Bedeutung. Wir sind jetzt fest in der Ära unkonventioneller • maßgeschneiderte, personalisierte IT-Lö- sungen auf Basis mobiler Plattformen, um ein größeres Engagement der Mitarbeiter zu fördern 294 Technologie

• mehr Produktivität durch den Paradigmen- alleinige Aufgabe der Fachbereichsteams sein wechsel zum mobilen Arbeiten kann, sondern auch Sicherheitsexperten mit ein- bezogen werden müssen. Um all dies zu verwirklichen, müssen Unter- nehmen einräumen, dass herkömmliche Sicher- Unternehmenslenker müssen die folgenden heitskontrollmechanismen und -verfahren nicht Schritte in Erwägung ziehen (bei deren Umset- in Erwartung der digitalen Transformation und zung Ihr Sicherheitsteam definitiv helfen kann): aller ihrer Bestandteile entwickelt wurden. • Die möglichen Bedrohungen einschätzen, Zu viele Unternehmen halten immer noch denen Ihre Branche und Ihr Unternehmen an den Konzepten starker physischer Grenzen ausgesetzt sind. Eine Reihe möglicher Be- fest, die das Routing zurück durch das physische drohungen sind bereits bekannt. Es ist je- Netzwerk fördern, anstatt den Netzwerkrand auf doch die Unterstützung der Geschäftsleitung die Cloud auszudehnen. Durch die Einbeziehung erforderlich, damit das Sicherheitsteam sich der Cloud als Grundpfeiler für mobiles Arbeiten zusätzliches Wissen von Cyber-Threat-Intel- optimieren Unternehmen das Management von ligence-Sharing-Organisationen (wie z.  B. Sicherheitsrisiken, indem sie die Ressourcen, das UK Cyber Information Sharing Partners Wissen und die Fähigkeit zum (sicheren) Expe- und TruSTAR) aneignen und mit Strafver- rimentieren von Cloud-Dienstanbietern nutzen. folgungsbehörden zusammenarbeiten kann. Bei sachgemäßer Umsetzung ist die digita- • Verstehen, wie sich erkannte Bedrohungen le Transformation leichter realisierbar, und zwar auf Ihre angestrebten Geschäftsergebnisse wenn Sicherheitsprobleme im Voraus antizi- auswirken könnten. Dabei kann es sich um piert und berücksichtigt werden und nicht erst, flexible Arbeitsregelungen, Datenanalysen, nachdem ein Sicherheitsproblem aufgetreten ist. globale Zusammenarbeit, Produktivität, Dabei ist zu bedenken, dass Unternehmen die Mitarbeiterbevollmächtigung oder Ähnliches digitale Transformation nur dann vollziehen wer- handeln. Es ist wichtig, die Bemühungen den, wenn ihre Kunden ihr wirklich vertrauen. Ihrer Sicherheitsteams zu unterstützen, damit Daher sollte Cyber-Sicherheit als wesentlicher sie verstehen, wie Ihr Unternehmen funktio- Aspekt jedes Teams für digitale Transformation niert und wie wiederum Geschäftsbereiche betrachtet werden und nicht wie so oft am Ende vom Cyber-Risiko betroffen sind, nicht nur des Prozesses stehen. aus technischer Sicht, sondern auch aus Be- nutzer- oder Betriebssicht. Sicherheitsexperten ermöglichen, über die Ergebnisse des mobilen • Bestimmen, wie Sie den Bedrohungen, Arbeitens und nicht über die von denen Sie ausgesetzt sind, begegnen kön- Sicherheitsmaßnahmen nachzudenken nen, während Sie gleichzeitig die Ge- Wenn Sicherheit in Produkte, Dienste oder Ge- schäftsziele erreichen. Stellen Sie sicher, dass schäftsprozesse zur Unterstützung des mobi- dies aus der Sicht von Mitarbeitern, Prozessen len Arbeitens integriert ist, beginnt alles mit und Technologien geschieht und so gestaltet der Frage, wie sich Sicherheit auf das Unterneh- ist, dass alle Bereiche des Unternehmens ver- mensergebnis auswirkt. Obwohl wir uns schnell stehen können, was sie anders machen müs- von den alten Praktiken des Nachrüstens von Si- sen und warum. cherheitsmaßnahmen entfernen, geschieht dies immer noch viel zu häufig. • Festlegen, welche Art von digitaler Trans- formation für Ihre Sicherheitsverfahren Dies ist eine entscheidende Rolle für Unter- erforderlich ist, damit Ihr Unternehmen nehmensleiter, denen der CISO üblicherweise bei einer Veränderung der Herangehens- Bericht erstattet, und Aufsichtsräte, die ihre Mit- weise geschützt ist.  Wenn der Vorschlag arbeiter selbstverständlich in die Lage versetzen lautet, mehr Sicherheitsprodukte zu kaufen, wollen, in einer Weise zu arbeiten, die sie mo- fragen Sie unbedingt, welche Auswirkungen tiviert. Dabei beginnt alles mit der Analyse des diese auf Ihre Mitarbeiter haben werden. geschäftlichen Risikos, obwohl dies nicht die Werden sie ihnen die intuitive Umsetzung Dank Sicherheit mehr Produktivität 295

von Verfahren erleichtern? Wurden sie mit bevorzugte Authentifizierungsmethode sein. Anwendern getestet? Gibt es eine Cloud-Lö- Während Kennwörter in einigen Protokollen sung, die sehr schnell und einfach bereitge- für die mehrstufige Authentifizierung ggf. stellt und gepflegt werden kann, sodass das weiterhin verwendet werden, sollten Sie sich langwierige Verfahren bei herkömmlicher andere Konzepte ansehen, wie z. B. Biometrie Software vermieden wird? oder Mechanismen zum einmaligen Anmel- den wie Apple FaceID und Windows Hello. • Fragen, wie Sie sich über die neuesten Risi- ken und Bedrohungen auf dem Laufenden • Welche sinnvollen Kontrollmechanismen halten und sicherstellen können, dass Sie haben wir im Einsatz, um ungewöhnliche rechtzeitig darauf reagieren können. Stel- bzw. ungewöhnlich hohe Datenbewegun- len Sie sicher, dass die vorherigen vier Schrit- gen zu erkennen? Dieses Muster könnte te eine kontinuierliche Schleife bilden, um darauf hindeuten, dass Benutzer außerhalb sicherzustellen, dass stets Entscheidungen der Sicherheitskontrollmechanismen aktiv zur Aufrechterhaltung des Sicherheits- und sind. Welche Art von Daten ist davon be- Risikomanagements sowie der Produktivität troffen und sind wir dadurch einem höheren getroffen werden. Risiko ausgesetzt? Gibt es Muster bei der Art der Datenbewegung oder des Zugriffs auf Die mobile Benutzererfahrung durch Anwendungen, die darauf hinweisen, dass Sicherheit verbessern, ohne Ihre Vertei- Benutzer Sicherheitskontrollmechanismen digungsfähigkeit zu beeinträchtigen umgehen? Welche Maßnahmen wurden ge- Die schwierige Balance zwischen lückenloser Si- troffen, um hier Abhilfe zu schaffen? cherheit und Flexibilität und Engagement der Mitarbeiter zu finden, ist im Zeitalter des mobi- • Wie ermöglichen wir die Zusammenarbeit len Arbeitens schwieriger denn je. Benutzer wer- bei gleichzeitigem Schutz von Informatio- den nach dem Weg des geringsten Widerstands nen? Dies ist angesichts der weit verbreiteten und nach Möglichkeiten suchen, das zu umge- Beziehungen mit externen Anbietern im täg- hen, was sie als umständliche, lästige und über- lichen Geschäftsbetrieb besonders wichtig, flüssige Verfahren zur Authentifizierung und um sicherzustellen, dass nur die gewünschten Zugriffsverwaltung betrachten. Und sie werden Personen auf sensible Daten zugreifen dürfen. sich nicht zurückhalten, ihr Wissen dazu mit ihren Kollegen zu teilen. • Sind wir in der Lage, Bedrohungen im gesamten Ökosystem des Unternehmens Es gibt Fragen, die Vorstände und Aufsichts- zu erkennen und darauf zu reagieren? räte stellen können, um zu verstehen, was für Geräte, Identitäten, Cloud-Dienste, Daten ein ausgewogenes Verhältnis zwischen lückenlo- und vieles mehr müssen geschützt werden, ser Sicherheit und mobilem Arbeiten im eigenen um betriebliche Effizienz und Produktivität Unternehmen getan werden kann: zu ermöglichen, ohne unzumutbare Risiken einzugehen. • Wie einfach ist es für einen Benutzer, auf Anwendungen, Dienste und Daten zu- • Welche sicherheitsrelevanten Ergebnisse zugreifen? Sie sollten feststellen, dass Sie müssen wir erzielen? Müssen wir unsere be- durch einen einfachen und intuitiven Be- stehenden Kontrollmechanismen anpassen, nutzerzugriff Ihre Sicherheitslage verbes- um Produktivität und mobiles Arbeiten zu sern. Es ist mehr als wahrscheinlich, dass ermöglichen, aber dennoch unsere Aufgaben Ihr CISO eine mehrstufige Authentifizie- beim Risikomanagement zu erfüllen? rung eingerichtet hat, um das Risiko von Identitätsdiebstahl zu verringern und einen • Wie sieht es bei dem Risikomanagement- ordnungsgemäßen Zugriff auf Daten zu und den Sicherheitsverfahren unserer gewährleisten. Eine wichtige Änderung Cloud-Dienstanbieter aus? Angesichts des kann die Abschaffung von Kennwörtern als anhaltenden Aufschwungs bei der Verb- reitung von Cloud-Diensten müssen Un- 296 Technologie

ternehmen sicherstellen, dass diese Anbieter ein wichtiger Grund, warum sich dieser Trend die richtigen Sicherheitsvorkehrungen und immer weiter verstärken wird. Da wir zuneh- strenge Kontrollmechanismen eingeführt mend auf modernste Kommunikationsdienste haben, um den Schutz von Identität, Infor- setzen, wird Sicherheit von den Benutzern von mationen und des digitalen Profils des gesa- Anfang an vorausgesetzt. Dadurch wird mobiles mten Unternehmens zu gewährleisten. Arbeiten zu einer selbstverständlichen Erweite- Stellen Sie schließlich Ihrem Sicherheits- rung der gesamten Arbeitserfahrung, wobei der team diese Frage: Haben Sie sich gründlich Einsatz von IT-Technologien drastisch zuneh- damit befasst, wie sich Cloud-Dienste und mo- men wird. biles Arbeiten auf unsere Risiko- und Bedro- hungsmanagementmodelle auswirken? Stellen Wir müssen schnell und entschlossen fortfah- Sie sicher, dass Ihr Sicherheitsteam seine Kon- ren, das alte Paradigma zu überwinden, bei dem trollmechanismen auf mobilen Geräten und in die Sicherheit – oft in Form von häufigen An- Cloud-Diensten auf Benutzerfreundlichkeit ge- meldungen, wiederholten Identitätsprüfungen testet hat. Fragen Sie anschließend, ob es alle und komplizierten Kennwörtern – die Produk- notwendigen Schritte unternommen hat, um die tivität viel zu oft beeinträchtigt. Die Umsetzung für diese Umgebungen erforderliche Transparenz der entsprechenden Sicherheitsverfahren und und Kontrollierbarkeit zu erreichen, ohne die -lösungen für mobiles Arbeiten kann die Not- Produktivität zu beeinträchtigen. wendigkeit vermeiden, den Datenverkehr so zu Kurz gesagt, schließen sich gute Sicherheit sperren und zu steuern, dass unzumutbare War- und positives Benutzererlebnis nicht gegensei- tezeiten und Bereitstellungsprobleme entstehen. tig aus, es sei denn, man sorgt dafür. Tun Sie das bitte nicht. Stattdessen wird die integrierte Sicherheit den Benutzern – Mitarbeitern, Kunden und Fazit allen Teilnehmern des digitalen Ökosystems – Wir haben nur an der Oberfläche gekratzt, wenn mehr Vertrauen in den Einsatz von IT-Techno- es um die Vorteile des mobilen Arbeitens geht, logie für mobiles Arbeiten geben. Und während und die integrierte, inhärente Sicherheit ist dies für unsere Mitarbeiter eine Bereicherung ist, werden es zweifellos unsere Unternehmen sein, die am meisten davon profitieren werden. Dank Sicherheit mehr Produktivität 297



Fazit



46 Wie wir heute unseren Ansatz für Cyber-Sicherheit ändern können Nir Zuk – Gründer und Chief Technology Officer, Palo Alto Networks Eines der Hauptziele dieses Buches, Wegweiser in wir schon lange zu einem Modell wechseln sol- die digitale Zukunft, zweite Ausgabe, ist es, tech- len, bei dem Maschinen gegen Maschinen ein- nischen und nicht technischen Führungskräf- gesetzt werden. Wenn wir diese Probleme nicht ten tiefere Einblicke in die Cyber-Sicherheit zu jetzt angehen, werden sie nur schlimmer, da un- verschaffen. Als Gründer mehrerer Technolo- sere Gegner mit technologischen Neuerungen gieunternehmen, die sich mit der Cyber-Sicher- wie Automatisierung, maschinellem Lernen und heit beschäftigen und zu denen auch Palo Alto künstlicher Intelligenz den Druck noch erhöhen. Networks gehört, bin ich in beiden Welten zu Hause: Ich habe einen technischen Hintergrund Das ist die schlechte Nachricht. Die gute und war später mit den Aufgaben betraut, ein er- Nachricht ist, dass wir dieses Problem beheben folgreiches Unternehmen aufzubauen und eine können. Wir können Cyber-Sicherheit in unse- dynamische Unternehmenskultur zu schaffen. re Technologien, Produkte, Dienste und Unter- nehmenskultur integrieren. Wir können aus der Beim Thema Cyber-Sicherheit kenne ich so- Cyber-Sicherheit einen Wegbereiter für geschäft- wohl die technische als auch die geschäftliche lichen Erfolg machen. Wir können ein Innova- Seite. Aus beiden Perspektiven sehe ich Her- tionsmodell bei der Cyber-Sicherheit erschaffen, ausforderungen – und Chancen – im Hinblick mit dem langfristig die Herausforderungen der auf den Ansatz, den die meisten Organisationen „Mondmission“ angegangen werden, die am An- heute bei der Cyber-Sicherheit anwenden. Das fang dieses Buches von meinem Freund und Kol- grundlegende Problem ist, dass unser Ansatz zu legen Mark McLaughlin geschildert wurden. reaktiv ist und unsere genutzten Mechanismen zu langsam und unwirksam für eine angemesse- Wir können die Probleme lösen und wir wer- ne Reaktion sind. den sie lösen. Ich zeige Ihnen, wie es geht: Da unsere Gegner Innovationen schneller Herausforderung Nr. 1: umsetzen, geraten wir ins Hintertreffen. Wir re- ineffiziente Nutzung agieren mit Maßnahmen auf individuelle Bedro- Die bisherige Methode für die Cyber-Sicherheit hungen, schaffen es aber nicht, eine nachhaltige ist ein Teufelskreis, der dazu führt, dass unsere Plattform zu erstellen, um Innovationen schnell Gegner immer die Nase vorn haben: Cyber-Kri- und wirksam zu nutzen. Unsere Gegner setzen minelle entwickeln schnell innovative Mecha- wöchentlich neue Methoden ein. Wir hingegen nismen, mit denen weiterer Schaden verursacht brauchen Monate, wenn nicht Jahre, um neue und mehr Geld gemacht werden kann. Als Reak- reaktive Maßnahmen durchzuführen. Wir halten tion entwickeln Cyber-Sicherheitsunternehmen, zu häufig noch an der Denkweise fest, mit Men- oft angeführt von innovativen Start-up-Unter- schen Maschinen zu bekämpfen. Dabei hätten nehmen, Lösungen, mit denen diese speziellen 301

Angriffsmechanismen gestoppt werden sollen. Rechenressourcen exponentiell. Die Gegner Diese neuen Lösungen müssen häufig über viele können nicht nur mehr Rechenressourcen aus Monate entwickelt und ausgewertet werden und der öffentlichen Cloud beziehen, sie stehlen sie wenn sie endlich zum Einsatz kommen, erhöhen auch von ihren Opfern, indem sie Computer, sie noch die Komplexität der Cyber-Sicherheit. Server oder beliebige andere Ressourcen über- nehmen, die sie billig und heimlich verwenden Je weiter dieser Teufelskreis sich vergrößert, können. desto umständlicher und ineffektiver werden unsere Verteidigungsmechanismen. Unterneh- Heute setzen wir Menschen in unseren Si- men verfügen heute oft über Dutzende und cherheitsoperationszentren (SOCs) ein, die manchmal Hunderte von verschiedenen Cy- mithilfe von Maschinen den Kampf gegen Ma- ber-Sicherheitslösungen, die nicht unbedingt schinen aufnehmen. Es ist Zeit für einen Pa- ineinandergreifen, sondern Einzellösungen dar- radigmenwechsel, bei dem Maschinen gegen stellen. Und sie müssen für den Support und die Maschinen kämpfen und Menschen diese Ma- Wartung und zusätzlich noch für die Aktualisie- schinen unterstützen. Sobald eine Maschine eine rung und den Ersatz dieser Lösungen zahlen. Aufgabe nicht durchführen kann, können Men- schen einspringen. Herausforderung Nr. 2: Menschen gegen Maschinen Die Chance: ein besserer Ansatz für die Wir setzen die innovativen Lösungen bei der Nutzung von innovativen Lösungen Cyber-Sicherheit nicht nur ineffizient ein, wir Die Technologie zur Lösung dieser Prob- gehen die Cyber-Sicherheit auch immer noch leme steht schon heute zur Verfügung. Es gibt mit der falschen Denkweise an. Infolge von Au- zwischen 2.000 und 3.000 Anbieter in der tomatisierung, maschinellem Lernen und KI ge- Cyber-Sicherheit und im Gegensatz zur landläu- winnt heute fast immer die Maschine den Kampf figen Meinung brauchen wir hier keine Kon- Mensch gegen Maschine. Wir können nicht er- solidierung. Eine Konsolidierung führt nicht warten, dass wir gewinnen, wenn wir Menschen zu innovativen Lösungen. Ich würde sogar bei diesem Kampf einsetzen. behaupten, dass wir mehr Anbieter und mehr Innovation benötigen. Maschinen können viel schneller angepasst werden als Menschen. Egal, welche Kapazität Was wir brauchen, ist ein besserer Ansatz für Menschen haben, ob jeder Mitarbeiter mit fünf die Nutzung dieser innovativen Lösungen. Und Sicherheitsereignissen oder 50 oder 500 umge- wir brauchen Sie als Führungskraft, um diesen hen kann. Wenn der Gegner automatisiert vor- Anspruch geltend zu machen. Jetzt! Wenn Ihr geht, kann er diese Zahl einfach übertreffen, CISO oder Sicherheitsteam eine Lösung für die indem er weitere Rechenkapazitäten für das Pro- Cyber-Sicherheit einkaufen möchte, die in den blem bereitstellt. nächsten Monaten oder in einem Jahr einge- setzt werden soll, müssen Sie ihre Grundvoraus- Aus Perspektive des Gegners ist Erfolg eine setzung infrage stellen. Folgendes sollten CEOs, Gleichung aus Rechenkapazität, Effizienz, Auto- CIOs und Vorstandsmitglieder verlangen: matisierung und nicht zuletzt Geld. Wenn Sie in der Position des Verteidigers auf Menschen ver- 1. Alle Lösungen für die Cyber-Sicherheit trauen, um in diesem Kampf zu bestehen, dann müssen innerhalb eines Tages eingesetzt müssen Sie auch die Kapazitäten bei den Men- werden – besser noch in kürzerer Zeit – und schen erhöhen. Sie müssen also immer die Größe zwar global in der gesamten Infrastruktur. Ihres Teams erhöhen, wenn die Angreifer die Re- chenkapazitäten steigern. Natürlich gehen die 2. Eine neue Lösung für die Cyber-Sicherheit Gegner dann einfach los und geben mehr Geld darf nicht davon abhängen, dass mehr Mit- für Rechenleistung aus. arbeiter eingestellt werden. Es gibt keine wirksame Methode, damit 3. Das ganze Cyber-Sicherheitsteam muss in- Schritt zu halten, weder logistisch noch finan- novative Lösungen rascher einsetzen. Die ziell. Auf der gegnerischen Seite ist das Wachs- Bösen bewegen sich schnell und wir müs- tum aufgrund der einfachen Verfügbarkeit von sen damit Schritt halten. 302 Fazit

Zunächst werden Ihr CISO und Ihre Sicher- die Cyber-Sicherheit eingesetzt werden, müssen heitsteams möglicherweise verärgert reagieren, sie gleichzeitig an allen Orten eingesetzt werden. weil diese Ansprüche sich sehr von dem Schema unterscheiden, nach dem sie so viele Jahre lang Cyber-Sicherheit als Plattform Dinge geregelt haben. Das ist in Ordnung, da Die Antwort auf diese Herausforderung ist ganz das alte Schema durchbrochen wurde. Ihre Cy- einfach: Cyber-Sicherheit als Plattform. Sehen ber-Sicherheitsfachleute müssen sich mit densel- Sie sich einige der erfolgreichsten IT-Plattformen ben Ansprüchen an die Anbieter wenden: Finden an: Apple, Windows, Salesforce.com, Facebook. Sie für uns eine Methode, dieses Problem mithil- Sie bieten eine einfache Methode, um innovative fe von innovativen Cyber-Sicherheitslösungen zu Lösungen sowohl anzubieten als auch zu verwen- lösen, die schnell, effizient, offen und umfassend den: Es wird eine offene Plattform eingesetzt, die eingesetzt werden. es jedem grundsätzlich erlaubt, mit einer guten Idee einzusteigen und diese zu verkaufen. Bei Innovative Lösungen bei der einer Plattform können hochwertige und inno- Cyber-Sicherheit durch SaaS vative Lösungen nahezu gleichzeitig angeboten Was macht einen besseren Ansatz für die Nut- werden. zung dieser innovativen Lösungen bei der Cyber-Sicherheit aus? Heutzutage ist SaaS (Soft- Es ist eine Plattform, ware-as-a-Service) die effizienteste Methode für wenn der ökonomische Wert jedes Nutzers den die Nutzung von IT-Ressourcen und Innovati- Wert des Unternehmens, das sie erstellt, übersteigt. onen. Das SaaS-Modell funktioniert bereits in vielen Geschäftsbereichen: Kundenbeziehungs- Erst dann ist es eine Plattform. management (CRM), Vertriebsmanagement, – Bill Gates Personal, Unternehmensressourcenplanung, E-Mail, Datenaustausch und Instant Messaging. In dem Maße, in dem unsere Gegner bes- ser ausgestattet sind, ausgefeiltere Methoden ver- Alle dazugehörenden Aktivitäten wurden wenden und den Einsatz von Automatisierung, entweder bereits in ein SaaS-Modell geändert maschinellem Lernen und IT besser beherrschen, oder der Wechsel steht kurz bevor. Der Grund müssen wir die grundsätzlichen Löcher in unse- hierfür ist, dass mit SaaS innovative Lösungen rem Sicherheitsansatz flicken – und zwar jetzt. einfach und schnell angewendet werden kön- Wir müssen in der Lage sein, Methoden der Cy- nen. Daher gilt die Antwort auf die frühere Frage ber-Sicherheit so zu nutzen, dass wir innovative nach dem richtigen Ansatz zur Problemlösung Lösungen schnell einsetzen und Maschinen mit bei der Cyber-Sicherheit genauso wie für alle an- Maschinen bekämpfen können. deren Geschäftsaktivitäten: Wir formen die Cy- ber-Sicherheit in ein SaaS-Modell um. Cyber-Sicherheit muss ein Paket aus Diens- ten sein, die Sie nutzen, und nicht nur eine Zu- Bei den meisten SaaS-Lösungen benötigen sammenstellung aus Technologien, die Sie in Sie lediglich einen Webbrowser, um sofort auf Netzwerken, an Endpunkten und in Rechenzen- die innovativen Lösungen zugreifen zu können. tren verwenden. Auf dem weiteren Weg in die Die Lösungen für die Cyber-Sicherheit müssen digitale Zukunft unterstützt uns die Plattform sich genauso einfach einsetzen lassen. Die Cy- dabei, unser Ziel zu erreichen: für immer das ber-Sicherheit birgt aber im Gegensatz zu den Modell für die Nutzung von Diensten und in- meisten dieser Geschäftsaktivitäten noch eine novativen Lösungen bei der Cyber-Sicherheit zu andere Herausforderung, weil es zwingend not- ändern. Das ist die Zukunft der Cyber-Sicher- wendig ist, die Technologie in der gesamten In- heit. Und wie Pablo Emilio Tamez López bereits frastruktur einzusetzen. Die einzige Methode, so treffend angemerkt hat: Die Zukunft ist jetzt. Informationen aus der Infrastruktur abzurufen und darauf zu reagieren, ist, Teil der Infrastruk- Blick nach vorn richten tur zu sein. Dies gilt für Rechenzentren, öffent- Ich erspare uns die technischen Details, wie ein liche Clouds und sogar für Endbenutzergeräte. SaaS-Plattformmodell für die Cyber-Sicherheit Unabhängig davon, welche SaaS-Lösungen für funktionieren kann. Ihre Fachleute für die Cy- ber-Sicherheit werden Ihnen die Details erklären Wie wir heute unseren Ansatz für Cyber-Sicherheit ändern können 303

können. Ich sage nur Folgendes: Schieben Sie zu schützen. Wenn wir unsere Aufgaben es nicht auf die lange Bank. Ihre Gegner war- erfolgreich erledigen, können wir die Welt ten nicht und Sie können es sich auch nicht erlauben. zum Besseren ändern. Wir sind nun am Ende unseres Buches ange- Sie sind an vorderster Front. Sie sind in der Po- langt und wenn Sie alles oder das meiste gelesen sition, zu agieren: Sie können den Ton in Ihrer haben – oder auch nur einige der vorhergehen- Organisation festlegen, Ihre Teams davon über- den Kapitel –, müssen Sie zu dem Schluss ge- langen, dass die Cyber-Sicherheit eines der zeugen, ein SaaS-Modell für die Cyber-Si- vornehmlichsten Probleme unserer Zeit ist. cherheit zu verwenden, Schulungen und Nicht nur im Unternehmen, sondern in der ge- Sensibilisierungsprogramme entwickeln, mit Be- samten Welt. Mark McLaughlin hat es bereits im hörden an Vorschriften arbeiten oder die Mond- Anfangskapitel anmerkt: mission für die Cyber-Sicherheit vorantreiben. Es gibt viel zu tun. Jetzt ist die Zeit zum Han- Unabhängig davon, deln. Manchmal ist es, als hätte es das digitale ob wir aus Wirtschaft und Industrie, Zeitalter schon immer gegeben. Aber manchmal Wissenschaft oder Politik und Verwaltung kommen erscheint es uns auch fremd und neu. Wir alle – als Führungspersonen, in die großes Vertrauen ge- haben es in der Hand, Zeit und Chancen zu nut- setzt wird, haben wir erhebliches Interesse daran, zen, um eine bessere Welt zu schaffen. Setzen wir unsere Lebensweise im digitalen Zeitalter den Weg fort. 304 Fazit





Profile der Mitwirkenden



Profile der Mitwirkenden Matt Aiello – USA Partner Heidrick & Struggles Matt Aiello is Partner in Heidrick & Struggles’ Menlo Park, California, office, where he specializes in the placement of senior-level technology, security, engi- neering, and operations executives. He leads the firm’s Cybersecurity Practice and is a member of the Global Technology and Services Practice and the Global Information Technology Officers Practice. Dr. Philipp Amann – Niederlande Strategischer Leiter Europäisches Zentrum zur Bekämpfung der Cyberkriminalität (EC3) Dr. Philipp Amann ist strategischer Leiter des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität (EC3), das für strategische, situations- gerechte und taktische Produkte im Zusammenhang mit Cyberkriminalität zuständig ist, wie beispielsweise die Bewertung der Bedrohungslage bei der organisierten Internet-Kriminalität in der EU (Internet Organised Crime Threat Assessment). Vor der Abteilung EC3 war Philipp Amann als Manager in der Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE), in der Organisation für das Verbot chemischer Waffen (OVCW) und im Internatio- nalen Strafgerichtshof tätig. Mark Anderson – USA President Palo Alto Networks Mark Anderson ist President der Palo Alto Networks und für den Umsatz insgesamt, die Unterstützung bei der Markteinführung von Lösungen, für die Kundenzufriedenheit und für die Geschäfts- und Unternehmensentwick- lung verantwortlich. Als er 2012 zum Unternehmen kam und bevor er im August 2016 President wurde, war Mark Anderson der Senior Vice President von Worldwide Field Operations des Unternehmens. Er bekleidete darüber hinaus auch führende Positionen im Vertrieb von F5  Networks, Lucent Technologies, RadioFrame Networks, Cisco und Comdisco. Brad Arkin – USA Vice President und Chief Security Officer Adobe Brad Arkin ist der Vice President und Chief Security Officer bei Adobe und in letzter Instanz verantwortlich für alle sicherheitsbezogenen Entscheidungen und Investitionen des Unternehmens. Er war zuvor als Manager bei Symantec, @Stake und Cigital tätig. 309

Kal Bittianda – USA Head of North America Technology Practice Egon Zehnder Kal Bittianda leitet die North American Technology Practice von Egon Zehnder und arbeitet mit Unternehmen aus den Sektoren Mobilität, Kommunikation, Systeme, Software und technologiegestützte Dienste zusammen. Zuvor leitete er Geschäftsbereiche bei Kyriba, EXL und Inductis. Gary A. Bolles – USA Vorsitzender von Future of Work an der Singularity University, Mitgründer von eParachute.com, Partner bei Charrette, Referent und Autor Gary A. Bolles is an internationally recognized expert and lecturer on the future of work and learning. His focus is on strategies for helping individu- als, organizations, communities, and countries to thrive in the digital work economy. He is a partner in the boutique consulting agency Charrette LLC, Chair for the Future of Work for Singularity University, and co-founder of eParachute.com. Michal Boni – Belgien und Polen Member Mitglied des Europäischen Parlaments Michal Boni ist seit 2014 Mitglied des Europäischen Parlaments und ist aktuell stellvertretender Vorsitzender der Delegation im Parlamentarischen Assoziationsausschuss EU-Moldau. Er ist aktives Mitglied verschiedener Regierungsausschüsse, wie z.  B. des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres und des Ausschusses für konstitutionelle Fragen sowie der Delegation in der Parlamentarischen Versammlung Euronest. Michal Boni war von November 2011 bis November 2013 Minister für Öffentliche Ver- waltung und Digitalisierung in Polen, war Kabinettsmitglied in Polen und Mitglied des Unterhauses des polnischen Parlaments sowie Minister für Arbeit und Soziales. Robert Boyce – USA Managing Director, Accenture Security Accenture Robert Boyce ist Managing Director von Accenture Security. Er ist bei Accenture verantwortlich für die Ausweitung und Entwicklung von Maßnahmen gegen Cyber-Bedrohungen. Er bietet darüber hinaus praktische Beratungsdienste für Global 2000 in den Bereichen erweiterte Sicherheit- soperationen, Krisenvorbereitung und -reaktion sowie Cyber-Verteidigung und Schutzstrategien. 310 Profile der Mitwirkenden

Mario Chiock – USA Schlumberger Fellow und CISO Emeritus Schlumberger Mario Chiock ist Schlumberger Fellow und war als früherer Chief Infor- mation Security Officer verantwortlich für die Entwicklung der weltweiten Cyber-Sicherheitsstrategie von Schlumberger. Er ist weithin anerkannt für seine führende Rolle und seinen Umgang mit allen Aspekten der Cyber- Sicherheit. Mario Chiock ist Mitglied der Beratungsausschüsse bei Palo Alto Networks, Onapsis und Qualys. Gavin Colman – Großbritannien Partner Heidrick & Struggles Gavin Colman ist Partner bei Heidrick & Struggles in der Londoner Nieder- lassung und Mitglied der Cybersecurity und Global IT Practices. Er arbeitet als CISO, CIO und CTO mit Unternehmen aus verschiedenen Sektoren und mit Technologieunternehmen zusammen, in denen er ein breites Spektrum von Leitungsfunktionen abdeckt. Alice Cooper – Großbritannien Global Head of Derivative Trade Processing IT BNP Paribas CIB Alice Cooper ist Global Head of Derivative Trade Processing IT bei BNP  Paribas  CIB. Sie bekleidete eine breite Palette von verantwortlichen IT-Positionen in den Feldern Geschäftsabschlüsse, Kredite und Aktienka- pital bei BNP Paribas. Zuvor arbeitete sie bei der Mitsubishi Bank und bei der Citibank. Tom Farley – USA Ehemaliger Chef New York Stock Exchange Tom Farley ist ehemaliger Chef der NYSE Group. Tom Farley kam zur NYSE, als ICE im Jahr 2013 NYSE Euronext übernahm, und bekleidete dort die Position des Chief Operating Officer. Er übernahm verschiedene Führungspositionen, wie Senior Vice President von Financial Markets bei ICE, President und Chief Operating Officer von ICE Futures U.S., President von SunGard Kiodex. Darüber hinaus hatte er mehrere Positionen im Invest- ment Banking bei Montgomery Securities und Private Equity bei Gryphon Investors inne. Tom Farley hat einen Bachelor-Abschluss der Georgetown University in Politikwissenschaften und ist Chartered Financial Analyst. Profile der Mitwirkenden 311

George Finney – USA Chief Security Officer Southern Methodist University George Finney ist der Chief Security Officer der Southern Methodist Univer- sity und Autor des Buches „No More Magic Wands: Transformative Cyberse- curity Change for Everyone“. Er arbeitete zuvor mit verschiedenen Start-ups und globalen Telekommunikationsunternehmen zusammen. George Finney ist Mitglied des Texas CISO Council, leitendes Mitglied der Evanta CISO Coalition, Vorstandsmitglied der FUEL User Group von Palo Alto Networks und Beiratsmitglied bei SecureWorld. Ryan Gillis – USA Vice President for Cybersecurity Strategy und Global Policy Palo Alto Networks Ryan Gillis ist Vice President for Cybersecurity Strategy und Global Policy bei Palo Alto Networks. Er hatte auch Führungspositionen in der Cyber-Sicher- heit im Nationalen Sicherheitsrat der USA und im Ministerium für innere Sicherheit inne. Marc Goodman – USA Vice President, Internal Audit Marc Goodman ist der Autor von „Future Crimes: Everything Is Connected, Everyone Is Vulnerable and What We Can Do About It“. Er ist ein führen- der Referent, Autor und globaler Stratege, der sich mit den Auswirkungen der Technologie auf alle Aspekte unserer Gesellschaft auseinandersetzt. Er war darüber hinaus in der Strafverfolgungsbehörde tätig und hat Organisationen wie das FBI, Interpol und die NATO beraten. Mark Gosling – USA Vice President, Internal Audit Palo Alto Networks Mark Gosling ist Vice President von Internal Audit bei Palo Alto Networks. Er hatte zuvor führende Positionen in der internen Revision, Compliance sowie Risiko und Kontrolle bei PricewaterhouseCoopers, Verisign und NetApp inne. 312 Profile der Mitwirkenden

Antanas Guoga – Belgien und Litauen Mitglied Europäisches Parlament Antanas Guoga ist Mitglied der EPP-Fraktion des Europäischen Parla- ments und ein weithin anerkannter Unternehmer, der eine Vielzahl von erfolgreichen internationalen Unternehmen gegründet hat. Er ist darüber hinaus engagierter Wohltäter und war vorher ein legendärer Poker-Profi. Er war Schattenberichterstatter für die Richtlinie zur Netzwerk- und Infor- mationssicherheit (NIS-Richtlinie) und organisierte zahlreiche Events und Beratungsgespräche mit Entscheidungsträgern zur Cyber-Sicherheit im Europäischen Parlament. Mit Blockchain Centre Vilnius war er verant- wortlich für das erste internationale Blockchain-Technologiezentrum in Europa, das ein Verbindungsglied zwischen den Blockchain-Zentren in Asien und Australien ist. Justin Harvey – USA Managing Director, Accenture Security Accenture Justin Harvey ist Managing Director von Accenture Security und verant- wortlich für die Global Incident Response und Cyber Fusion Center Con- sulting Practice. In dieser Position ist er Vordenker und strategischer Berater für Cyber-Spionage, Cyber-Krieg und Cyber-Kriminalität. Justin Harvey hatte zuvor führende Positionen bei Fidelis Cybersecurity, HP/ArcSight, CPSG Partners Consulting und Mandiant/FireEye inne. William Houston – USA Advisor, Technology and Communications & Industrial Practices Egon Zehnder William Houston ist Berater für Technology and Communications & Indus- trial Practices bei Egon Zehnder. Er arbeitete zuvor in der Emerging Business Development Group von Google und bekleidete leitende Positionen im Min- isterium für innere Sicherheit der USA und im U.S. Cyber Command. Salim Ismail – Canada Gründer, ExO Foundation; Vorstandsmitglied, XPRIZE Salim Ismail ist der erfolgreiche Autor von „Exponential Organisations“. Er ist darüber hinaus ein gefragter Geschäftsstratege und anerkannter Unternehmer mit Verbindungen zu Yahoo, Google und Singularity Uni- versity. Salim Ismail gründete ExO Works im Jahr 2016 mit dem Ziel, das globale Business umzuformen und Organisationen in die Welt des exponen- tiellen Denkens zu katapultieren. Profile der Mitwirkenden 313

Paul Jackson, GCFE – Hongkong Managing Director, Asia-Pacific Leader, Cyber Risk Kroll Paul Jackson ist Managing Director und Asia-Pacific Leader für Cyber Risk bei Kroll. Er hat eng mit führenden Organisationen wie Interpol, den Elec- tronic Crimes Task Forces des Secret Service der USA und dem Digital Crimes Consortium von Microsoft zusammengearbeitet. Paul Jackson arbeitete 22 Jahre bei der Polizei in Hongkong und wurde schließlich Chief Inspektor und Leiter der IT Forensic Practice. Er bekleidete darüber hinaus führende Positionen bei der Bank J.P. Morgan Chase. Siân John, MBE – Großbritannien Chief Security Advisor Microsoft Siân John ist Chief Security Advisor für Großbritannien in der Enter- prise Cybersecurity Group bei Microsoft. Sie hatte zuvor eine Vielzahl von führenden Rollen im britischen Parlament, bei Ubizen und Symantec inne. Sie ist Vorsitzende des Digital Economy Program Advisory Board für den Engineering and Physical Sciences Research Council und Vorsitzende des TechUK Cybersecurity Management Committee. Siân John erhielt den Orden „Member of the Most Excellent Order of the British Empire (MBE)“ für ihre Dienste in der Cyber-Sicherheit und wurde in die Liste „New Year’s Honours“ für 2018 aufgenommen. Ann Johnson – USA Corporate Vice President, Cybersecurity Solutions Microsoft Ann Johnson ist Corporate Vice President für Cybersecurity Solutions bei Microsoft. Sie war zuvor CEO bei Boundless, einem Open-Source-Unterneh- men für Geo-Lösungen, und COO bei Qualys, einem führenden Anbieter von Lösungen für Cloud-Sicherheit und Compliance. Sie bekleidete darüber hinaus führende Positionen bei RSA und EMC. John Kindervag – USA Field Chief Technology Officer Palo Alto Networks John Kindervag ist Field Chief Technology Officer bei Palo Alto Networks. Vorher war er Vice President und Principal Analyst im Security and Risk Team bei Forrester Research. John genießt das Ansehen als einer der welt- weit führenden Experten für Cyber-Sicherheit und ist bekannt für das revolutionäre Modell „Null Vertrauen“ bei der Cyber-Sicherheit. John Kindervag hat zahlreiche Branchenzertifizierungen und einen Abschluss als Bachelor of Arts in Kommunikationswissenschaften der University of Iowa. 314 Profile der Mitwirkenden

Heather King – USA Chief Operating Officer Cyber Threat Alliance Heather King ist Chief Operating Officer bei der Cyber Threat Alliance, einer gemeinnützigen Organisation, die Anbieter von Cyber-Sicherheit zusam- menbringt, um die Cyber-Sicherheit des digitalen Ökosystems zu verbessern. Sie übernahm ebenso führende Rollen bei Cyber-Sicherheitsrichtlinien im Nationalen Sicherheitsrat der USA und bei anderen Regierungsbehörden. Mischel Kwon – USA Gründerin und Chief Executive Officer MKACyber Mischel Kwon ist Gründerin und Chief Executive Officer von MKACyber, einem Anbieter von Sicherheitsmaßnahmen und Sicherheitsberatung. Mischel Kwon arbeitet bereits seit 36 Jahren in der IT- und Sicherheitsbranche. Sie war Vice-President für Public Sector Security bei RSA Security, Director des US-CERT und Deputy Director für IT Security Staff beim Justizminis- terium der USA. Selena Loh LaCroix – USA Global Lead, Technology and Communications Practice Egon Zehnder Selena Loh LaCroix ist Global Lead der Technology and Communications Practice von Egon Zehnder mit dem Schwerpunkt Halbleiter, intelligente Geräte und Cyber-Sicherheit. Sie arbeitete zuvor in der eigenen Rechtsanwalts- kanzlei Gray Cary Ware & Freidenrich (jetzt DLA Piper) und hatte juristische Führungspositionen bei Texas Instruments und Honeywell International inne. Gerd Leonhard – Schweiz Autor; Führungskraft „Future Trainer“; Stratege; Chief Executive Officer, The Futures Agency Gerd Leonhard ist der einflussreiche und erfolgreiche Autor von „Technology vs. Humanity“ und zahlreichen anderen Büchern. Er ist ein gefragter „Zukunftstrainer“ für Führungskräfte, ein anerkannter strategischer Berater von Fortune-1000-Unternehmen und Regierungsbehörden weltweit sowie der CEO von The Futures Agency, einem globalen Netzwerk von über 30 führenden Futuristen. Profile der Mitwirkenden 315

Pablo Emilio Tamez López – Mexiko Chief Security Officer und Senior Vice President für Enterprise Security Tecnológico de Monterrey Als Chief Information Security Officer bei Tecnológico de Monterrey ist Pablo Emilio Tamez López verantwortlich für die Sicherheit aller Einrichtun- gen einschließlich Hochschulbildung und Gesundheitswesen. Pablo Emilio Tamez López hat die Cyber-Sicherheitsstrategie der Organisation, d.  h. Mitarbeiterkonsolidierung, Sicherheitstechnologien und -dienste, Sicherheit- soperationszentren und Vorfallreaktion, entwickelt und vorangebracht. Gary McAlum – USA Chief Security Officer und Senior Vice President für Enterprise Security United Services Automobile Association Gary McAlum ist Chief Security Officer und Senior Vice President für Enter- prise Security bei der United Services Automobile Association. Er arbei­tete vorher 25 Jahre bei der Luftwaffe der USA, wo er verschiedene Stabs- und Führungspositionen in der Cyber-Sicherheit, Informationstechnologie, Tele- kommunikation und bei den Netzwerkoperationen innehatte. Diane E. McCracken – USA Vice President und Chief Security Officer im Bankensektor Diane E. McCracken ist Executive Vice President und Chief Security Officer einer mittelgroßen Bank im Nordosten der USA. Sie ist verantwortlich für die Cyber-, Informations-, Anwendungs- und physische Sicherheit sowie die Geschäftskontinuität und Notfallwiederherstellung. Sie wechselte 2004 als Sicherheitsanalystin einer überregionalen Bank zur Informationssicherheit und übernahm 2011 die Position als Leiterin der Informationssicherheit in ihrem derzeitigen Unternehmen. Mark McLaughlin – USA Vice Chairman Palo Alto Networks Mark McLaughlin ist Vice Chairman der Palo Alto Networks, wo er vorher die Position des Chief Executive Officer und Chairman bekleidete. Zuvor war er President und CEO von Verisign und davor besetzte er führende Posi- tionen bei Signio und Gemplus. Seit fast zehn Jahren ist Mark McLa­ughlin Mitglied des National Security Telecommunications Advisory Committee und bekleidete die Positionen Chairman und Vice-Chairman. 316 Profile der Mitwirkenden

Danny McPherson – USA Executive Vice President und Chief Security Officer Verisign Danny McPherson ist Executive Vice President und Chief Security Officer bei Verisign. Vorher war er Chief Security Officer bei Arbor Networks und bekleidete technische Führungspositionen bei Organisationen wie Qwest Communications, MCI Communications und der Fernmeldeeinheit des US-amerikanischen Heeres. Stephen Moore – USA Vice President und Chief Security Strategist Exabeam Stephen Moore ist der Vice President und Chief Security Strategist bei Exabeam. Er bringt Lösungen für die Bedrohungserkennung/-reaktion voran und berät Kunden zu Reaktionen auf Datenschutzverletzungen. Vor seiner Tätigkeit bei Exabeam bekleidete Stephen Moore einige Positionen als Experte und Führungskraft in der Cyber-Sicherheit. In seiner Freizeit berät er branchenführende Organisationen, übernimmt Mentor-Aufgaben und hilft Menschen in Not. Robert Parisi – USA Managing Director und U.S. Cyber Product Leader Marsh Robert Parisi ist Managing Director und U.S. Cyber Product Leader bei Marsh. Vorher war er Senior Vice President und Chief Underwriting Officer für E-Business-Risikolösungen bei AIG und Rechtsberater für verschiedene Lloyds-of-London-Syndikate. Sherri Ramsay – USA Cyber-Sicherheitsberaterin; ehemalige Leiterin U.S. National Security Agency/Central Security Service Threat Operations Center Sherri Ramsay ist ehemalige Leiterin der U.S. National Security Agency/ Central Security Service Threat Operations Center. Sie arbeitet aktuell als Beraterin und ist mit der strategischen Entwicklung und Planung/Entwick- lung von Sicherheitsoperationszentren betraut. Sie ist Mitglied des Board of Advisors des Hume Research Center an der Virginia Tech und Mitglied des Board of Advisors von TruSTAR Technology. Max Randria – Australien Principal Heidrick & Struggles Max Randria ist Principal bei der Niederlassung von Heidrick & Struggles in Melbourne und Mitglied von Global Technology and Services Practice. Er ist Leiter von Cybersecurity Practice bei Heidrick & Struggles in Australien und Neuseeland und hat bereits zahlreiche C-Level-Rekrutierungsprojekte in allen Bereichen der Cyber-Sicherheit geleitet. Profile der Mitwirkenden 317

Mark Rasch – USA Rechtsanwalt für Cyber-Sicherheit und Datenschutz Mark Rasch ist Rechtsanwalt für Cyber-Sicherheit und  Datenschutz und hat bereits über 25  Jahren Berufserfahrung in der Cyber-Sicherheit von Unternehmen und Regierungsbehörden, im Datenschutz, in Compliance, bei der Wahrscheinlichkeitsrisikobewertung, Resilienz, Computer-Krimi- nalität und Vorfallreaktion. Mark Rasch arbeitete früher im Justizministe- rium der USA, das er bei der Untersuchung und Verfolgung von Cyber- und Hightech-Verbrechen führend unterstützte. Er baute dabei die Einheit für Computer-Verbrechen innerhalb der Betrugsbekämpfung der Strafkammer auf. Yorck O.A. Reuber – Deutschland Head of Infrastructure Services & CTO, Nordeuropa AXA IT Yorck O.A. Reuber ist Chief Technology Officer bei AXA IT und leitet den Bereich Infrastruktur in Nordeuropa. Zu seinem Verantwortungsbereich gehört die gesamte zentrale Infrastruktur und die Umformung in ein agiles, digitales Unternehmen, in dem Mehrfach-Cloud-Szenarien genutzt werden und die IT global unterstützt wird. Als zertifizierter Chief Engineering Officer der Navy hatte Yorck O.A. Reuber zuvor führende Positionen bei IMB, Verizon und T-Systems inne. Dr. Andreas Rohr – Deutschland Chief Technology Officer Deutsche Cyber-Sicherheitsorganisation GmbH (DCSO) Dr. Andreas Rohr ist Gründungsmanager und Chief Technology Officer bei der Deutschen  Cyber-Sicherheitsorganisation GmbH (DCSO). In dieser Funktion leitet er die Cyber Defense Services und das Security Engineering für das operative Geschäft. Zuvor arbeitete er als Manager bei RWE, Volkswagen und im Verteidigungsministerium in Deutschland. John Scimone – USA Senior Vice President und Chief Security Officer Dell John Scimone ist Senior Vice President und Chief Security Officer bei Dell. Zuvor war er Senior Vice President und Chief Information Security Officer bei Sony und Director of Security Operations im U.S. Secretary of Defense Communications Office. 318 Profile der Mitwirkenden

James Shira – USA Network Chief Information Security Officer PricewaterhouseCoopers James Shira ist Network Chief Information Security Officer bei Pricewater- houseCoopers und leitete dort die unternehmensweite Transformation der Informationssicherheit. Vorher bekleidete er weitere Führungspositionen wie bei der Zurich Insurance Group als Group CISO und bei American General Financial Services als Chief Security Officer. Justin Somaini – USA Chief Security Officer SAP Justin Somaini leitet das Team von SAP Global Security (SGS). Er verfügt über mehr als 20 Jahre Erfahrung in der Informationssicherheit und ist für die Gesamtsicherheitsstrategie bei SAP zuständig. Bevor er 2015 zu SAP kam, war Justin Somaini Chief Trust Officer bei Box. Vor der Tätigkeit bei Box war Somaini Chief Information Security Officer (CISO) bei Yahoo, Symantec, Verisign und Charles Schwab. Lisa J. Sotto – USA Partner Hunton Andrews Kurth LLP Lisa Sotto ist Vorsitzende der hochrangigen Global Privacy and Cybersecurity Practice bei Hunton Andrews Kurth. Sie ist Managing Partner der Nieder- lassung in New York und ist Mitglied der Geschäftsführung des Unterneh- mens. Lisa J. Sotto ist weithin anerkannt für ihre Arbeit in den Bereichen Datenschutz und Cyber-Sicherheit und zählt zu den 100 einflussreichsten Rechtsanwälten (100 Most Influential Lawyers) des National Law Journal. Darüber hinaus ist sie Vorsitzende des Data Privacy and Integrity Advisory Committee im Ministerium für innere Sicherheit der USA. Jennifer Steffens – USA Chief Executive Officer IOActive Jennifer Sunshine Steffens ist Chief Executive Officer von IOActive, einem global tätigen Beratungsunternehmen, das sich zum Ziel gesetzt hat, die Welt sicherer zu machen. Sie erhielt bereits zahlreiche Branchenpreise für ihre Führungstätigkeiten in der Cyber-Sicherheitsbranche, wie beispielsweise den Preis „IT Security CEO of the Year“ des CV Magazine im Jahr 2018. Zuvor bekleidete sie führende Positionen bei bahnbrechenden Unternehmen in der Cyber-Sicherheit wie Sourcefire und NFR Security. Profile der Mitwirkenden 319

Megan Stifel – USA Rechtsanwältin; Gründerin, Silicon Harbor Consultants; Cybersecurity Policy Director, Public Knowledge Megan Stifel ist Rechtsanwältin und Gründerin von Silicon Harbor Consultants, einem Unternehmen, das strategische Cyber-Sicherheitsoper- ationen und Beratung anbietet. Darüber hinaus ist sie Cybersecurity Policy Director bei Public Knowledge und bekleidete Führungspositionen in der Cyber-Sicherheit im Nationalen Sicherheitsrat der USA und im Justizmin- isterium der USA. Ed Stroz – USA Gründer und Co-President Stroz Friedberg, ein Aon-Unternehmen Ed Stroz ist Gründer und Co-President von Stroz Friedberg, einem Aon- Unternehmen, das eine führende globale Position bei Prüfungen, Informa- tionen und Risikomanagement einnimmt. Zuvor war er Supervisory Special Agent für das FBI in den USA und baute dort das erste Team zur Bekämp- fung von Computerkriminalität in der Außenstelle New York auf. Ria Thomas – Großbritannien Partner und Global Co-Lead für Cyber-Sicherheit Brunswick Group Ria Thomas ist Global Co-Lead in der Cyber-Sicherheit der Brunswick Group. Sie hat über 20 Jahre Erfahrung mit Cyber-Sicherheitsstrategien und -richtlinien im privaten und öffentlichen Sektor. Dazu gehört auch die Ber- atung von Führungskräften in Regierungsbehörden, Vorstandsmitgliedern und C-Suite-Führungskräften über Krisenvorbereitung, unternehmens- weite Reaktion und Resilienzstrategien für Unternehmen im Rahmen der Cyber-Sicherheit. James C. Trainor – USA Senior Vice President, Cyber Solutions Group Aon James C. Trainor ist Senior Vice President der Cyber Solutions Group bei Aon und unterstützt die Entwicklung einer Gesamtunternehmensstrategie in der Cyber-Sicherheit. Er leitete zuvor die Cyber Division im FBI und leitete Agenten und Analysten in allen größeren hochrangigen Cyber-Untersuchun- gen, an denen das FBI beteiligt war. 320 Profile der Mitwirkenden

Rama Vedashree – Indien Chief Executive Officer Data Security Council of India Rama Vedashree ist Chief Executive Officer des Data Security Council of India. Sie war zuvor Vice-President bei NASSCOM und war verantwortlich für verschiedene Initiativen, wie beispielsweise Nationale IT, eGovernance, Smart Cities und Gesundheitswesen. Darüber hinaus übte sie Führungsposi- tionen bei Microsoft und General Electric aus. Patric J.M. Versteeg, MSc – Niederlande Patric J.M. Versteeg, MSc., ist bereits seit über 20 Jahren Experte für Cyber-Si- cherheit. Er arbeitet weltweit bei Organisationen an der strategischen Planung der Cyber-Sicherheit, beim Führungsengagement und bei kundenspezifischen Lösungen zusammen, damit Organisationen weiterhin sicher und wohlbehalten durch die sich ständig ändernde Cyber-Landschaft navigieren können. Nir Zuk – USA Gründer und Chief Technology Officer Palo Alto Networks Nir Zuk ist Gründer und Chief Technology Officer bei Palo Alto Networks. Bevor er an der Gründung von Palo Alto Networks mitwirkte, war Nir Zuk CTO bei NetScreen Technologies, das 2004 von Juniper Networks übernom- men wurde. Vor NetScreen war Nir Zuk Mitgründer und CTO bei OneSe- cure, leitender Ingenieur bei Check Point Software Technologies und einer der Entwickler der Technologie Stateful Inspection. Naveen Zutshi – USA Senior Vice President und Chief Information Officer Palo Alto Networks Naveen Zutshi ist Senior Vice President und Chief Information Officer bei Palo Alto Networks und ist dort verantwortlich für die IT-Lösungen und -Strategie der Organisation. Vorher war er Senior Vice President für Tech- nology bei Gap Inc. und Vice President für Technology and Operations bei Encover, einem SaaS-basierten CRM-Unternehmen. Darüber hinaus beklei- dete er führende Positionen im Technologiesektor bei Cisco und Wal-Mart. Profile der Mitwirkenden 321