Cybersecurity Summit 2023

Cybersecurity ist Teamwork

Alleine geht es nicht: So in etwa lassen sich die Diskussionen und Erkenntnisse des Cybersecurity Summit von CIO und CSO auf den Punkt bringen. Was die Konferenz in Frankfurt für Entscheider sonst noch in petto hatte, haben wir im Rückblick zusammengefasst.
Von Florian Kurzmaier
CSO | 03. Juli 2023 12:00 Uhr

Heiß her ging es in Frankfurt am 20. Juni 2023 nicht nur wegen der beinahe tropischen Temperaturen, denn: Das Who-is-Who der deutschsprachigen Cyber- und Informationssicherheits-Szene traf sich zum Cybersecurity Summit, den CIO-Magazin und CSO erstmals gemeinsam ausgerichtet haben - und diskutierten mehr als intensiv über technologische, organisatorische und technologische Herausforderungen für die Entscheiderinnen und Entscheider.

In insgesamt 17 unterschiedlichen Vorträgen, Breakout-Sessions oder Panel-Diskussionen ging es um Zero Trust, SASE, Awareness oder auch Management Awareness. Und das immer mit starken Stimmen aus der Praxis wie Ingo Elfering (CIO von Fresenius), Stefan Braun (CISO von Henkel), Holger Bajohr-May (CISO der Technischen Werke Ludwigshafen), dem Landesamt Für Verfassungsschutz Hessen, Florian Jörgens (CISO von Vorwerk), Iskro Mollov (CISO von GEA) und Ralf Kleinfeld (CISO von Otto). Und auch die Industrie war in der Rolle des Sponsors der Veranstaltung zahlreich vertreten und rundete die Diskussionen mit Impulsen und Handlungsempfehlungen, beispielsweise über Michael von der Horst, Dietmar Hilke und Andreas Gsänger von Cisco Secure, Stefan Schmugge von Rubrik, Stephan Hartmann von HashiCorp, Sebastian Scherl von Cloudflare, Sergej Epp von Palo Alto Networks und Bert Skaletski von Proofpoint, ab.

Fresenius-CIO Ingo Elfering eröffnete den Cybersecurity Summit mit seiner Keynote.
Fresenius-CIO Ingo Elfering eröffnete den Cybersecurity Summit mit seiner Keynote.
Foto: Tobias Tschepe/Foundry

Gemeinsam stärker

Ohne eine funktionierende Aufstellung und eine enge Abstimmung zwischen IT-Verantwortung und Security-Verantwortung wird Cyber- und Informationssicherheit in der Betrachtung des großen Ganzen kaum erfolgreich umsetzbar werden. Speziell dann nicht, wenn es sich um eine so große, global aufgestellte Organisation wie die der Fresenius handelt, von der CIO Ingo Elfering (in Frankfurt leider ohne den kurzfristig verhinderten CISO Boban Krsic auf der Bühne) im Rahmen seiner Opening Keynote "Digitale Transformation und IT Security bei Fresenius - das Tandem für die Med-Tech-Zukunft" berichtete. Dabei ging es aber nicht nur um die Organisation und Aufstellung, sondern auch um das Gleichgewicht von digitaler Transformation des Unternehmens und ganzheitlich betrachteter Cybersecurity als integraler Bestandteil dieser Transformation - nicht zuletzt entlang der dafür entscheidenen Handlungsfelder wie Identity Management.

Die folgende Panel-Diskussion mit dem Titel "Stellenwert der IT-Sicherheit: Machen Unternehmen in Deutschland genug richtig, um der Bedrohungslage gerecht zu werden?" konnte dann mit den CSO-Beiratsmitgliedern Stefan Braun (CISO, Henkel) und Holger Bajohr-May (CISO der Technischen Werke Ludwigshafen) sowie Michael von der Horst (Managing Director Cybersecurity, Cisco) einige der bereits in der Keynote diskutierten Themen vertiefen. Die Quintessenz: Die Entscheiderinnen und Entscheider haben die Risiken und Bedrohungen ganz gut im Blick, zu häufig fehlt aber noch die Risk-Awareness und Folgenabschätzung, speziell wenn es um die Kosten von Risiko-Mitigation geht.

Stefan Braun (CISO, Henkel), Holger Bajohr-May (CISO der Technischen Werke Ludwigshafen) sowie Michael von der Horst (Managing Director Cybersecurity, Cisco) diskutierten auf dem Podium.
Stefan Braun (CISO, Henkel), Holger Bajohr-May (CISO der Technischen Werke Ludwigshafen) sowie Michael von der Horst (Managing Director Cybersecurity, Cisco) diskutierten auf dem Podium.
Foto: Tobias Tschepe/Foundry

Im Anschluss bekamen alle Teilnehmenden für unsere drei Silent Stages Kopfhörer ausgehändigt und konnten so ihren favorisierten Themen der drei zeitgleich bespielten Bühnen lauschen. Eine gemeinsame Podiums-Runde aller Moderatoren und Sprecher präsentierte dann im Anschluss allen Teilnehmenden nochmal die Ergebnisse - so konnten die Teilnehmenden alle Key Learnings auch der Stages mitnehmen, denen sie nicht aktiv zugehört haben. Die Themen waren dabei so vielfältig, wie die Partner, die unsere Bühnen bespielt haben. Ciscos Andreas Gsänger beispielsweise diskutierte an seiner Bühne mit den Gästen das Thema "Wissen, was läuft und angemessen reagieren - Was es bei Detection and Response zu beachten gilt", während Stefan Schmugge von Rubrik gemeinsam mit Marc Neumann von mediatixx unter dem Titel "Warum Sie die hohen Mauern in Ihrer Security-Strategie gegen Cyber Recovery tauschen sollten" über Recovery sprachen. Die dritte Stage bespielten dann Stephan Hartmann von HashiCorp und Christian Tüffers von der Deutschen Börse unter dem Titel "Vertrauen ist gut, aber nicht auditierbar - Warum nur Zero Trust im DevSecOps-Betrieb Skalierbarkeit und Mehrwert bringt". Alle drei Stages waren dabei von einer regen Beteiligung unserer Teilnehmenden und spannenden Diskussionen geprägt.

Unsere Teilnehmenden lauschen den Vorträgen.
Unsere Teilnehmenden lauschen den Vorträgen.
Foto: Tobias Tschepe/Foundry

Deep Dives und Erfahrungsberichte

Den Nachmittag des Summits läutete dann das hessische Landesamt für Verfassungsschutz mit einem Status-Update zur aktuellen Bedrohungslage mit speziellem Fokus auf den Wirtschaftsschutz ein. Da die Inhalte des Vortrags als vertraulich eingestuft sind, berichten wir auf Bitten des Sprechers nicht über die konkreten Inhalte, die praxisnahen Hinweise zur Abgrenzung der Zuständigkeit zwischen Polizei und Verfassungsschutz, Zielfelder ausländischer Geheimdienste und Fallbeispiele enthalten. Dafür gab es aber einige nützliche Insights für die Gäste.

Dasselbe gilt natürlich auch für die Diskussionen und Inhalte der Summit Tracks, also der Workshop-Formate des Cybersecurity Summits. Nach einem kurzen Pitch der beiden Themen auf der großen Bühne konnten sich die Teilnehmenden in zwei Runden für je zwei parallele Diskussionsrunden entscheiden. In Summit Track 1 mit dem Titel "Mit ganzheitlichen Cybersecurity-Strategien zu resilienteren Organisationen: Wie ein Zero-Trust-Ansatz in unsicheren Zeiten die Widerstandsfähigkeit stärkt" luden Dietmar Hilke (Leader Strategic Security Initiatives, Cisco) und Holger Bajohr-May (CISO & Leiter Servicemanagement, Technische Werke Ludwigshafen am Rhein) zu einer auf Zero Trust und der Machbarkeit des Ansatzes. Summit Track 2 dagegen drehte sich vorbereitet von Sebastian Scherl (Senior SASE Product Specialist, Cloudflare) und Klaus Schiewald (CIO, Rheingas) um das Thema "Bedrohungen und Angriffsvektoren im Blick: Wie Verantwortliche durch moderne Technologien auf die aktuelle Bedrohungslage reagieren können". Sergej Epp von Paloalto nahm dann die Teilnehmenden in Summit Track 3 mit in sein Thema "Der SASE-Faktor für Cybersecurity: Wie man die Cloud-basierte Skalierbarkeit absichert", während Proofpoint mit den Sprechern Bert Skaletski (Resident CISO for EMEA, Proofpoint) und Wolfgang Witerzens (CISO, Condor Flugdienst GmbH) sich dem Thema "Angriffsketten durchbrechen: It's all about people!" näherten.

Florian Jörgens, CISO von Vorwerk, steuerte eine fiktonale Tabletop-Übung bei.
Florian Jörgens, CISO von Vorwerk, steuerte eine fiktonale Tabletop-Übung bei.
Foto: Tobias Tschepe/Foundry

CISO-Albträume, Ganzheitlichkeit und Next-Level-Awareness

Für etwas Abwechslung und Aktivierung im Ablauf sorgte dann Vorwerk-CISO Florian mit seiner Tabletop-Übung "Hacked! 72 hours of a CISOs nightmare". Dabei nahm Jörgens die Teilnehmen mit in eine rundenbasierte, fiktionale Simulation einer Ransomware-Attacke. Das Ziel: Die Teilnehmenden nochmal Hands-on mit einer Krisenszene zu konfrontieren, Good-practice-Ansätze im Krisenmanagement ins Gedächtnis zu rufen und einige Praxis-Learnings zu vermitteln. Die vielleicht wichtigste, wenn auch naheliegendste Erkenntnis: regelmäßig zu üben, hilft!

Regelmäßige Übungen stehen sicher auch bei GEA-CISO Iskro Mollov auf dem Programm, der den Teilnehmenden im Rahmen seiner Keynote "Was es für eine ganzheitliche Security-Sicht in der Praxis braucht" einen ausgesprochen spannenden Einblick in die Security-Organisation der GEA präsentierte. Dort ist Iskro Mollov nämlich ganzheitlich für alle Aspekte der Sicherheit - nicht nur für IT oder Informationssicherheit - zuständig. Dabei konnte Mollov herausarbeiten, dass dieser ganzheitliche Ansatz nur dann funktionieren kann, wenn Methoden und Voregehensweisen einheitlich sind.

Iskro Mollov, CISO von GEA, berichtete über seine Ganzheitliche Security-Verantwortung im Konzern.
Iskro Mollov, CISO von GEA, berichtete über seine Ganzheitliche Security-Verantwortung im Konzern.
Foto: Tobias Tschepe/Foundry

Schon in unserem Gespräch vor der Veranstaltung, dass Sie hier nachlesen können, sagte er: "Dass alle Aspekte der Sicherheit in meinem Verantwortungsbereich liegen, würde ich dabei nicht als "Aufteilung", sondern viel mehr als "notwendige Vereinigung" bezeichnen. Besonders wertvoll bei dieser ganzheitlichen Betrachtung sind insbesondere die enormen Synergie-Effekte. Methoden und Vorgehensweisen sind einheitlich, Interessenkonflikte zwischen unterschiedlichen Sicherheitsverantwortlichen sind nicht vorhanden, die Kosteneffizienzvorteile sind enorm und die Sicherheitsmaßnahmen der unterschiedlichen Sicherheits-Disziplinen können zentral entsprechend ihrer Risiken priorisiert werden."

Jörgens, Mollov und Otto-CISO Ralf Kleinfeld fanden sich dann auch zum zweiten und letzten Panel des Tages zusammen. Die drei CISOs diskutierten dabei mit CIO und CSO Redakteur Martin Bayer unter dem Titel "Vorbereitung auf den nächsten Incident: Worauf es für IT und IT-Security-Verantwortliche ankommt" über die Prävention. Essentiell dabei: Den Fokus darauf zu legen, nicht den Schadensfall koste es was es wolle abwenden zu wollen, sondern die Folgen eines solchen Ernstfalls kontrollier- beziehungsweise eindämmbar zu machen. Dazu, so die einhellige Meinung, braucht es eine Kultur, die Mitarbeitende als First-Line-of-Defense versteht und auf dem Weg dorthin emphatisch fördert. Ein Thema, das Otto-CISO Ralf Kleinfeld zum Abschluss des Summits zum Thema seiner Closing Keynote "Cybersicherheit - über Technologie, Menschen und Organisation zum Security Klima" machte.

Ralf Kleinfeld, CISO von Otto, rundete den Tag mit seinem Vortrag zum Security-Klima ab.
Ralf Kleinfeld, CISO von Otto, rundete den Tag mit seinem Vortrag zum Security-Klima ab.
Foto: Tobias Tschepe/Foundry

Die Kernbotschaft: Ein funktionierendes, atmendes Security-Klima, das Cybersicherheit ganzheitlich versteht, die Organisation durchdringt und in Produkte, Prozesse und Kommunikation gelebt wird, ist essentiell für den Erfolg - sowohl für den der Security-Strategie, als auch für den der CISOs. Ein Aspekt, den Kleinfeld bereits im Vorfeld des Summits im Gespräch mit uns aufgegriffen hat: Mit dem Security-Klima "schaue ich mehr auf die Organisation als Ganzes. Welchen Stellenwert hat Security und wie geht die Organisation damit um. Wie ist das Top-Management dazu aufgestellt, wie sind die Verantwortlichkeiten geregelt und wie werden sie wahrgenommen. Unternehmen haben in der Regel Werte und Mitarbeiter identifizieren sich mit diesen. Daraus erwachsen Gemeinsamkeit, Zusammenhalt und die Bereitschaft, sich für den Erfolg des Unternehmens zu engagieren. Vielleicht ein entscheidender Vorteil gegenüber externen Bedrohungen. Es geht am Ende darum, eine Sicherheitskultur kontinuierlich weiterzuentwickeln, verankert an der Unternehmenskultur."

Fazit: Teamwork und kulturelle Begleitung von Cyber- und Informationssicherheit sind essentiell

Nach einem spannenden, diskussionsreichen und von vielen nutzwertigen Erkenntnissen geprägten Summit-Tag durften sich Sprecher und Gäste noch über einen launigen Ausklang im Frankfurter Radisson Blu mit weiteren Gesprächen freuen. Was von diesem ersten Cybersecurity Summit der Foundry-Medien CIO und CSO bleibt: Es sind immer wieder die kulturellen Herausforderungen rund um die Cyber- und Informationssicherheit und deren Überwindung, die den Unterschied machen. Dabei sind Teamwork zwischen Security-Verantwortlichkeiten sowie IT- und Business-Perspektiven entscheidende Erfolgsfaktoren.