Letzte SEKOP2022

„Die CISO Agenda 2023 – Fokussieren wir uns auf die wesentlichen Themen?“

4. Cyber Security-Managementdialog

23.06. – 26.06.2022 | Hotel Andaz München Schwabinger Tor

1 2 3 4 5

Grußwort

Daniel Eitler
Präsident der SEKOP2022
Global CISO
Daimler AG

Jimmy Heschl
Präsident der SEKOP2022
Head of Digital Security
Red Bull GmbH

GRUßWORT DER PRÄSIDENTEN

COVID-19 war und bleibt das bestimmende Thema unserer aktuellen Zeit und wirkt sich weiterhin massiv auf alle Lebensbereiche aus. In der Bewältigung der Pandemie wurden uns zahlreiche Hürden, wie mangelnde Transparenz, starre Prozesse oder die stockende Digitalisierung, in den Weg gestellt. Gleichzeitig haben jedoch die Menschen, Unternehmen und Organisationen bewiesen, dass sie über eine hohe Agilität und Anpassungsfähigkeit verfügen. Veränderungen wurden schneller geplant, umgesetzt und akzeptiert als je zuvor. Eine der größten Veränderungen war dabei sicherlich die zunehmende Bedeutung des Megatrends Digitalisierung und die damit verbundene Transformation unserer Gesellschaft in nahezu allen Bereichen.

Mit mehr als 50 Milliarden internetfähigen Geräten weltweit besitzt mittlerweile fast jeder Erdbewohner durchschnittlich sieben in der Anzahl im eigenen Umfeld. Sehen Sie sich einmal in Ihrem eigenen persönlichen Bereich um. In Zeiten, in denen Home-Office zur Norm wird, finden Sie nicht nur Ihr mobiles Telefon neben dem Laptop, sondern erleichtern sich das tägliche Arbeiten mit digitalen Hilfsmitteln, wie Freisprecheinrichtungen oder anderen sogenannten Smart Devices. Dabei wird häufig vergessen, dass jedes einzelne Gerät eine Angriffsfläche für Cyberkriminelle bietet, um die Verfügbarkeit, Integrität oder Vertraulichkeit unserer persönlichen oder geschäftlichen Daten zu verletzen.

Neben dieser steigenden Abhängigkeit sollten wir auch die andere Seite nicht vergessen: die der Angreifer. Neben staatlichen Aktivitäten und den Versuchen von Script-Kiddies ist ein hoch professioneller, hoch automatisierter und äußerst lukrativer Markt entstanden. Hier werden Angriffe vorbereitet, Informationen offen getauscht, eine Arbeitsteilung und Zusammenarbeit über Länder hinweg sehr dynamisch entwickelt, ohne dabei – wie wir – auf rechtliche Rahmen wie Datenschutz oder ethische Themen der Verwendung von AI Rücksicht nehmen zu müssen. Also nicht nur die Anzahl und die Abhängigkeit steigt weiter, auch die Bedrohung.

Fast täglich werden neue Sicherheitsvorfälle bekannt, die durch eine steigende Anzahl und immer besser und kreativer werdende Angreifer verursacht werden. Um nur ein Beispiel zu nennen: Denken Sie an die erst kürzlich, auch in den Medien thematisierte, Smishing-Welle, in der Cyberkriminelle versucht haben, nicht nur Privatpersonen, sondern gezielt auch Mitarbeiter von Unternehmen und Organisationen mit einer SMS in die Falle zu locken. Der daraus resultierende Schaden ist für Personen, Wirtschaft, Politik oder Lehre meist immens. Es ist offensichtlich: Ohne Cyber Security ist keine erfolgreiche Digitalisierung möglich.

Jeder noch so kleine Vorfall in der Vergangenheit hat uns gezeigt, dass die bestehenden Strategien für Cybersicherheit stetig weiterentwickelt oder ausgebaut werden müssen. Der Bedarf neuer Lösungen zur Bewältigung dieser Herausforderungen ist unumstritten und das Angebot auf dem Markt für neue Lösungsansätze vielfältig. Neueste Technologien werden als Heilsbringer angepriesen, wie z. B. Cloud, Machine Learning/Artificial Intelligence, Blockchain, Robots – doch was davon hilft effektiv und effizient gegen die „Bedrohung im Netz“ und was ist nur „gutes Marketing“?

Auf der SEKOP2022 möchten wir uns dieser Frage widmen und gemeinsam mit Ihnen die CISO Agenda 2023 entwickeln. Dabei stellen wir allem voran, wie wir die wesentlichen Themen zur Erhöhung der Cyber Resilience angehen können. Das Programmkomitee hat hierfür insgesamt sechs spannende Workshops entwickelt:

Cybersecurity-Strategie
Third-Party Risk Management
IT & OT Verschmelzung
Security-Dashboard
Open Source Software Management für eigene Software und Produkte
Security in Cloud & Container-Umgebungen

Nutzen Sie die Chance, auf der SEKOP2022 durch Vorträge, Workshops, aber vor allem auch den Austausch mit anderen Teilnehmern aus Politik, Industrie und Lehre neue Impulse zu erhalten, die Ihnen dabei helfen können, Ihre Cyber Security-Strategie weiterzuentwickeln und zu optimieren.

Wir freuen uns auf den Austausch und auf drei spannende, gemeinsame Tage mit Ihnen in München.

Ihr

Daniel Eitler
Global CISO
Daimler AG

Ihr

Jimmy Heschl
Head of Digital Security
Red Bull GmbH

Programmkomitee

Gerne präsentieren wir Ihnen unser diesjähriges Programmkomitee.
Das Programmkomitee definiert, jedes Jahr aufs Neue, das Programm sowie das Leitthema der Konferenz und leitet die einzelnen Workshops.

Unsere Präsidenten 2022

Daniel Eitler
Global CISO
Daimler AG

Jimmy Heschl
Head of Digital Security
Red Bull GmbH

Sergej Epp
Chief Security Officer, Central Europe
Palo Alto Networks GmbH

Peter Gerdenitsch
Head of Group Information & Cyber Security/Group CISO
Raiffeisen Bank International AG

Tilo Heintzig
Head of Security Consulting GRC & Strategie
Deutsche Telekom Security GmbH

Kerstin Luck
Information Security Officer
E.ON Digital Technology GmbH

Dr. Henning Rudolf
Head of Global Cybersecurity Strategy & Business Enablement
Siemens AG

Michael Schrank
CISO
adidas AG

Thomas Tschersich
Chief Security Officer
Deutsche Telekom AG

Tagungsablauf

Donnerstag, 23. Juni 2022

09:30 – 13:00 Uhr	Registrierung
10:30 – 12:30 Uhr	Closed Door CISO Brunch Impulsvorträge und Diskussion Jana Ringwald, Oberstaatsanwältin, ZIT – GStA Frankfurt, Carsten Meywirth, Abteilungsleiter Cybercrime, BKA (nur für Anwender)
12:30 – 13:30 Uhr	Mittagessen
13:30 Uhr	Begrüßung durch Alfred Luttmann, Geschäftsführer der FINAKI Deutschland GmbH
	Eröffnung der Konferenz durch die Präsidenten Daniel Eitler, Global CISO der Mercedes-Benz Group AG und Jimmy Heschl, Head of Digital Security der Red Bull GmbH
	Impulsvortrag und Paneldiskussion „Cyber Security ohne Business oder doch Business mit Cyber Security – Dilemma oder Synergie?“
anschließend	Anmoderation der Workshops durch die Workshopleiter, gegenseitige Vorstellung der Teilnehmer und Definition des Ablaufs und der Vorgehensweise
20:00 Uhr	Rotating Dinner

(nachmittags paralleles Rahmenprogramm für Begleitpersonen)

Freitag, 24. Juni 2022

09:00 – 12:00 Uhr	Workshop-Arbeit inkl. Kaffeepause
12:00 – 12:30 Uhr	Anwender-Use Case
12:30 – 13:30 Uhr	Mittagessen
13:30 – 14:30 Uhr	Anwender-Use Cases
14:30 – 18:30 Uhr	Workshop-Arbeit inkl. Kaffeepause
20:00 Uhr	Abendessen

(tagsüber paralleles Rahmenprogramm für Begleitpersonen)

Samstag, 25. Juni 2022

vormittags	Rahmenprogramm: Kultur und Sport
12:30 – 13:30 Uhr	Mittagessen
13:30 – 14:00 Uhr	Präsentation der Workshop-Ergebnisse durch die Workshopleiter
14:00 – 16:45 Uhr	Arena-Diskussion In der Arena Diskussion stellen sich bis zu 2 Workshop Teams den Fragen und Anmerkungen des Plenums und diskutieren hier ihre erarbeiteten Ideen, Ergebnisse und Handlungsempfehlungen.
	InfoFair Für jeden Workshop wird ein „Messestand“ aufgebaut, an dem die jeweiligen Workshopleiter und -teilnehmer ihre Ergebnisse präsentieren. So kann sich jeder Teilnehmer über die Ergebnisse der anderen Workshops informieren.
16:45 – 17:30 Uhr	Resümee der Konferenz durch die Präsidenten Abschluss und Bekanntgabe des Termins für die SEKOP2023 Abschlussvortrag Tobias Schrödel IT-Sicherheitsexperte im TV und erster Comedyhacker „Ich glaube, es h@ckt! – IT Security mal anders“
20:00 Uhr	Abendessen

Sonntag, 26. Juni 2022

vormittags	Frühstück und individuelle Gespräche
bis 12:00 Uhr	Hotel Check-out

Kultur- und Rahmenprogramm

Am Donnerstag (Workshop-Arbeit für die Teilnehmer) werden für die Begleitpersonen verschiedene halbtägige Exkursionen angeboten.
Am Freitag (Workshop-Arbeit für die Teilnehmer) werden für die Begleitpersonen verschiedene ganztägige Exkursionen angeboten.
Am Samstag können alle Teilnehmer und privaten Begleitpersonen halbtägige Aktivitäten nutzen, die kulturelle Exkursionen und sportliche Aktivangebote beinhalten.

Die Teilnehmer werden etwa acht Wochen vor der SEKOP2022 über das gesamte Programmangebot informiert.

Workshops

Workshop-Teilnahme und -Organisation
Die Workshops laufen zeitlich parallel, d.h. es ist jeweils die Teilnahme an einem Workshop möglich. Die Ergebnisse aller Workshops werden dem Plenum vorgestellt und im Rahmen einer InfoFair präsentiert. Der Dialog auf der InfoFair ermöglicht den Teilnehmern, sich über alle Workshop-Ergebnisse detailliert zu informieren. FINAKI dokumentiert diese Ergebnisse in der Ergebnisdokumentation. Die beschriebenen Inhalte dienen als Basis für die Workshop-Arbeiten. Moderatoren und Teilnehmer entscheiden gemeinsam, welche Schwerpunkte sie in ihrem Workshop bearbeiten.

zu den Workshops: 1 | 2 | 3 | 4 | 6

Workshop 1: Cybersecurity-Strategie – Jetzt oder nie! – Was lernen wir aus der Vergangenheit und wie gelingt eine Zero-Trust-Architektur?

Workshopleitung: Sergej Epp, Palo Alto Networks GmbH

Co-Moderation: Martin Schöpper, BASF Digital Solutions GmbH

Als Sicherheitsverantwortliche waren wir in der Vergangenheit oft nur die Verwalter und selten die Gestalter der Geschäftsprozesse. Mit der zunehmenden Digitalisierung unserer Gesellschaft und den damit verbundenen Vertrauens- und Datenschutz-Herausforderungen steht Cybersicherheit plötzlich als ein zentraler Diﬀerenzierungsfaktor für viele Geschäftsmodelle der Zukunft da. CISOs stehen damit im Mittelpunkt, nicht nur die Bedrohungen von morgen zu antizipieren, sondern das Thema Cybersicherheit proaktiv am Geschäftserfolg von morgen auszurichten.

In der Gestaltung der Cybersecurity-Strategie sorgt aktuell kein anderes Schlagwort für mehr Gesprächsstoff als Zero-Trust. Anfangs eine kühne Vision, danach ein Marketing-Buzzword bis hin zu der ultimativen Cybersecurity-Strategie – all das assoziiert man damit. Die Gründe liegen auf der Hand: In der modernen Post-COVID-Welt, in der das klassische Rechenzentrum nicht mehr im Zentrum des Universums steht, der Perimeter sich aufgelöst hat und die Applikationen in der Multi-Cloud neu gedacht werden, in der Ransomware und Supply-Chain-Gefahren plötzlich nicht mehr greifbar sind, bietet Zero-Trust einen einzigartigen Ansatz, wie Cybersecurity gedacht und gestaltet werden kann. Jedoch fehlt es oft an praktischen Erfahrungen, wie die Transformation tatsächlich gelingt und viele Unternehmen stehen noch am Anfang.

Ziel unseres Workshops ist die Erarbeitung eines Referenzmodells auf Basis von Zero-Trust, welches aktiv zum Geschäftserfolg einer Organisation beitragen kann.

Die Teilnehmer des Workshops können Cybersecurity-Strategie auf Basis von Zero-Trust besser einschätzen und Anregungen mitnehmen, wie die Strategie in ihrer Organisation verankert werden kann.

Workshop 2: Third-Party Risk Management – Wie stellen wir das notwendige Sicherheitsniveau unserer Zulieferer sicher?

Workshopleitung: Peter Gerdenitsch, Raiffeisenbank International AG

Co-Moderation: Alexander Mitter, Nimbusec GmbH

„Schaden in Millionenhöhe – Hacker verschaffte sich Zugang über Lieferanten“ – so oder so ähnlich könnte eine Schlagzeile auf dem Ticker großer News-Webseiten lauten, wenn das Third-Party Risk nicht unter Kontrolle ist.

Unsere Unternehmen verlassen sich immer mehr auf ihre Zulieferer – speziell in der IT. Den Sicherheitsrisiken der Zulieferer und Partner wird jedoch im Einkauf nicht die notwendige Aufmerksamkeit geschenkt, da die Sicherheit der eigenen Systeme im Vordergrund steht.
Das Risiko geht meist über die Third-Parties hinaus und erstreckt sich teilweise vier, fünf Ebenen tief in die Zulieferkette. Zusätzlich zu GDPR und NIS 2.0 greift auch die Regulatorik verschiedener Branchen das Thema verstärkt auf (z.B. Finanz/DORA).

Durch das Thema Third-Party Risk wird der Alltag einer CISO Organisation daher um Aufgaben wie

eine laufende Einschätzung der Third-Party Risiken,
eine Sensibilisierung der Fachbereiche – insbesondere des Einkaufs,
die Überprüfung des Sicherheitslevels der Zulieferer und auch
das Management des erwarteten Sicherheitslevels jedes einzelnen Zulieferers

erweitert.

Ergänzend kommen in regulierten Branchen Vorgaben der Aufsicht hinzu, welche ein nachvollziehbares Management des Third-Party Risikos erfordern.

In unserem Workshop wollen wir die Risiken, welche durch die Kontrahierung von Third-Parties eingegangen werden,

priorisieren,
geeignete Maßnahmen zur Adressierung und Minimierung bzw. Beseitigung der Risiken erarbeiten,

einen beispielhaften Prozess für Third-Party Risk Management definieren und
Praxiserfahrungen teilen – insbesondere mögliche Anpassungen und Formulierungen in Lieferantenverträgen.

Die Diversität der Branchen der Teilnehmer wird für viele unterschiedliche Blickwinkel sorgen. Als Anschauungsbeispiel stellen die zwei Moderatoren ihre Erfahrungen als CISO und als Co-Entwickler eines national anerkannten Cyber Risk Ratings dar.

Workshop 3: IT & OT – Cyber Security, wenn Silos verschmelzen – Eine Verschmelzung, die Chancen und Risiken für die Informationssicherheit in sich trägt.

Workshopleitung: Kerstin Luck, E.ON Digital Technology GmbH

Co-Moderation: Dr. Sebastian Schmerl, Arctic Wolf Networks

IT und OT waren in der Vergangenheit getrennte Bereiche. In der Ära von IoT, Big Data und Fernwartung löst sich diese Trennlinie immer weiter auf. Zusätzlich wirkt der Umstand der Pandemie als Katalysator hinsichtlich der Fernwartungs- und der „kontaktfreien“ Zugänge (Home-Office etc.) auf die Aufweichung der Trennung ein.

OT war bislang auf Produktions- und Industrieanlagen konzentriert, die in der Regel in geschlossenen Bereichen platziert waren. Dazu zählen unter anderem industrielle Kontrollsysteme (ICS) wie Prozessleitsysteme, SCADA-Systeme sowie industrielle Geräte, die inzwischen nicht nur untereinander, sondern zusätzlich mit dem Internet vernetzt sind.

Die IT befasst sich klassischerweise mit Hardware, Software, Kommunikationstechnologien und den damit verbundenen Services. Somit ist auch die Ausrichtung der Informationssicherheit unterschiedlich. Für die OT lag der Fokus auf der Verfügbarkeit und für die IT darauf, die Datensicherheit zu gewährleisten.

Produktions- und Anlagennetzwerke sind zu attraktiven Zielen für Cyberattacken geworden und somit erleben OT-Systeme Cyber-Angriffe ähnlich wie IT-Systeme. Schwachstellen und Sicherheitsprobleme bieten Hackern Möglichkeiten, Zugang zu beiden Netzwerken zu erhalten und systematisch wichtige Daten und Assets auszuforschen und lebenswichtige Prozesse zu stören. Durch die immer stärker fortschreitende Verschmelzung sehen sich nun gerade die Betreiber automatisierter Produktionsanlagen (Stichwort: IoT) und Kritischer Infrastrukturen (Stichwort: Energieversorger) der Herausforderung gegenüber, die Angriffsvektoren beider Welten zu betrachten und den verschiedensten Anforderungen wie dem IT-Sicherheitsgesetz und der Europäischen Datenschutzgrundverordnung sowie Herausforderungen wie überholten Technologien oder unsicheren Verbindungen Genüge zu tun.

Ziel des Workshops ist die gemeinsame Erarbeitung der verschiedenen An- und Herausforderungen an und durch die Cyber Security. Die Teilnehmer haben die Möglichkeit, die Chancen und Risiken aus der Konvergenz der IT- und OT-Netzwerke herauszukristallisieren und daraus eine Strategie zu entwickeln, wie die Ansichten der jeweils anderen Seite zu berücksichtigen sind und das Know-how beider Seiten gebündelt werden kann.

Workshop 4: Das Security-Dashboard – Wie bekomme ich als Entscheider eine End-to-End-Transparenz?

Workshopleitung: Thomas Tschersich, Deutsche Telekom AG; Tilo Heintzig, Deutsche Telekom Security GmbH

Co-Moderation: Frank Koelmel, Cybereason

Die Digitalisierung verbindet Menschen, vereinfacht und automatisiert Arbeitsprozesse und treibt den Wandel voran. Kurzum: Wir alle profitieren von der fortschreitenden Digitalisierung. Gleichzeitig wird jedoch auch alles ein Stück weit komplexer. Vor allem in der „Cyberwelt“ ist es schwierig geworden den Überblick zu behalten: Das ständige Katz- und Maus-Spiel zwischen Angreifern auf der einen Seite und uns auf der anderen scheint eine Never-Ending Story zu sein. Eine größere Vernetzung bedeutet eben auch weitaus mehr potenzielle Schwachstellen. Und diese werden ausgenutzt – die Frage ist nur wann und in welcher Form. Wie also behält man hier als Chief Security Oﬃcer/Chief Information Security Oﬃcer noch am besten die Kontrolle – und wie macht man die Informationen Entscheidungsträgern transparent?

Ein geeignetes Mittel hierfür könnte ein Security-Dashboard sein: eine zentrale Übersicht der relevanten Informationen aus den einzelnen Reportings der Bereiche. Das Dashboard könnte die Darstellung der klassischen Sicherheit sowie Cybersicherheit vereinen und eine klare Priorisierung und Bewertung der Risiken ermöglichen. Als graphische Abbildung könnte das Dashboard einen Überblick aller Themen im Verantwortungsbereich des CSO/CISO geben. Der Vorteil wäre hierbei: Menschen können Graphiken weitaus schneller erfassen als Texte oder Excel-Tabellen. Die Hauptseite könnte beispielsweise alle aktuellen Risiken, die eine sofortige Handlung erfordern, aufzeigen. Ziel ist es, einen möglichst schnellen Überblick des Status quo zu geben. Was hat absolute Priorität, wie sieht der nächste Schritt aus? All das müsste aus einem vollständigen Dashboard hervorgehen – und zwar ohne langes Durchscrollen des E-Mail-Postfachs. Darüber hinaus sollte es bei Bedarf möglich sein, detailliertere Informationen zu erhalten.

In unserem Workshop erarbeiten wir, welche einzelnen Bestandteile für ein Security-Dashboard wichtig sein könnten. Beispielsweise könnten je nach Themengebiet und Sicherheitsabbildung die Graphiken die klassische Ampelbewertung bis hin zu Welt – und Wetterkarten beinhalten. Mit den gemeinsam erarbeiteten Ergebnissen können Sie anschließend Ihr eigenes Dashboard implementieren. Damit übernehmen Sie ab sofort wieder die nötige Kontrolle als Sicherheitsverantwortlicher in Ihrem Unternehmen.

Workshop 6: Automatisch sicher, dank moderner Cloud & Container-Umgebungen?! – Security by Design effizient und skalierbar umsetzen und Altlasten beseitigen.

Workshopleitung: Michael Schrank, adidas AG

Co-Moderation: Torsten Jüngling, Capgemini Outsourcing Services GmbH

Kaum ein Unternehmen spricht derzeit nicht über die Cloud und moderne Container-Laufzeitumgebungen. Die einen sind bereits „in der Cloud angekommen“, andere machen gar „Cloud first“ und ein paar wenige bereiten sich noch auf den Weg in die Cloud vor. Doch das Feld, von dem gesprochen wird, ist oft ein weites – der CISO steht vor der Aufgabe, IaaS, PaaS, SaaS, On Premise, Hybrid sowie Hyperscaler Cloud-Umgebungen abzusichern. Hinzu kommt, dass mit der Nutzung dieser Angebote oft auch gleich noch neue Technologien eingeführt werden.

In unserem Workshop beleuchten wir gemeinsam die Handlungsfelder, die sich für uns ergeben. In Bezug auf die Technologien, die oft im Zusammenhang mit verstärkter Cloud-Nutzung in Erscheinung treten, fokussieren wir uns vor allem auf Container-Umgebungen.

Auf Basis eines kurzen Impulsvortrags werden in unserem Workshop in kleineren Gruppen die verschiedenen Cloud-Arten sowie deren spezifische Security-Herausforderungen erarbeitet. Die Gruppenergebnisse werden anschließend in der gesamten Workshopgruppe vorgestellt und diskutiert. Zum Abschluss werden die gesammelten Ideen und Vorschläge zu einem Gesamtergebnis zusammengefügt.

Unser Workshop dient dazu den CISOs die Herausforderungen, aber vor allem auch die Chancen, die mit dem Trend Cloud verbunden sind, aufzuzeigen. Denn eine gezielte Verlagerung von Services in die Cloud und Modernisierung hin zu Container-Umgebungen, flankiert durch die richtigen Sicherheitskonzepte, bietet die einmalige Chance die Unter-nehmens-IT auf eine neue, moderne und vor allem sichere Basis zu heben. Zudem erlauben diese neuen Ansätze Security by Design einzuführen und konsequent anzuwenden.

Die Teilnehmer des Workshops haben nach diesem ein klares Bild, welche Chancen und Risiken sich durch die Verlagerung in die Cloud ergeben. Sie haben zudem durch die Eindrücke der Diskussionen, gesammelten Informationen und Empfehlungen einen besseren Startpunkt, um die bevorstehenden Herausforderungen zu meistern.

Downloads