Lange Jahre war Informationssicherheit getrieben durch IT-Abteilungen und Sicherheit für Businessanwendungen. In den letzten Jahren ist vermehrt auch die Sicherheit von Produktionsanlagen (Operations Technology OT) ins Zentrum der Überlegungen gerückt. Durch meinen Hintergrund im Anlagenbau und in der Industrie kann ich diese spezielle Form der Informationssicherheit praxisnahe und mit dem nötigen Domänenwissen abdecken.

Besonderheiten im Bereich OT sind unter anderem die sehr langen Lebensdauern der Maschinen und Anlagen von teilweise 25 Jahren und mehr sowie die extremen Anforderungen an die Verfügbarkeit. Auch ist die Informationssicherheit im Bereich OT sehr stark davon abhängig, dass der Maschinenhersteller und der Maschinenbetreiber zusammen diese Aufgabe angehen. Dies bedingt einen anderen Zugang und andere Lösungen als in der klassischen IT-Security.

Ich unterstütze Maschinenhersteller und auch Maschinenbetreiber bei der Analyse, der Optimierung und dem dauerhaften Betrieb einer sicheren OT-Umgebung. Hierzu gehört auch der Support zur Herstellung von Compliance mit den jeweiligen Regulatorien. Im Bereich der Regulatorien haben sich der Cyber Resilience Act (CRA) und die Netzwerk- und Informationssicherheitsrichtlinie (NIS2) als der zentrale Baustein herausgestellt.

Meine Unterstützung umfasst die Unterstützung auf fachlicher Ebene, als auch auf prozessualer und regulatorischer Ebene. Das kann sich auf ein Review eines bereits bestehenden Konzeptes oder einer bereits bestehenden Umgebung beschränken. Es kann aber auch bis zur Projektleitung und der Leitung des Aufbaus eines Product Security Incident Response Teams gehen.

Softwareentwicklung ist viel mehr als nur das reine Programmieren. Hier entwickeln sich die Anforderungen der an die Sicherheit von Software und Systemen in einem rasanten Tempo.

Um mit diesen Anforderungen Schritt halten zu können gilt es von der Anforderungsanalyse, über die Architektur und Entwicklung, bis zu DevOps die Sicherheit im Blick zu behalten. Auf Basis meiner Erfahrung und meines fachlichen Hintergrunds kann ich Unternehmen dabei unterstützen nicht nur Software zu entwickeln, sondern sichere Software. Mein Ziel ist es, in den Unternehmen eine solche sichere Softwareentwicklung zu etablieren, ohne die Aufwände und damit die Kosten zu erhöhen. Durch einen pragmatischen Zugang und den Einsatz von modernen Technologien und Verfahren ist dies möglich.

Gerne begleite ich Unternehmen auf diesem Weg. Dies nicht nur in der Konzeptphase, sondern auch mit viel Freude "Hands on" in der Umsetzung.

Ziel der Informationssicherheit ist es die immateriellen Werte eines Unternehmens zu schützen. Die oft zitierte IT-Sicherheit ist dabei nur ein Aspekt, da die Informationssicherheit neben den digitalen Werten auch die analog gespeicherten Werte (Informationen) schützen muss.

Neben der intrinsischen Motivation von unternehmen zum Schutz ihrer Werte, wird der Druck durch Compliance-Anforderungen in diesem Bereich immer größer. Hier hat sich die NIS 2 in Europa nun als zentrales Regelwert etabliert und fordert flächendeckend einen Grundschutz für Informationen.

Der Schutz von Informationen hat viel damit zu tun einem Vorfall vorzubeugen. Genauso wichtig ist es aber auch auf einen Vorfall vorbereitet zu sein. Ein Brandschutzplan wird ja auch bereits erstellt und beübt, bevor es brennt. Mit den Notfallplänen in der Informationssicherheit sollte es sich ähnlich verhalten. Als qualifizierter Auditor für die NIS1 in Österreich kenne ich die Anforderungen an die Informationssicherheit aus der Sicht des Kontrolleurs und aus meiner bisherigen beruflichen Erfahrung aus Sicht der kontrollierten/umsetzenden Organisation. Damit ist es mir möglich eine effiziente Umsetzung zu gewährleisten.

Es ist mein Ziel Unternehmen beim Aufbau und der Weiterentwicklung der internen Informationssicherheit zu unterstützen. Durch meine Erfahrung, welche auch reale Vorfälle und deren Behandlung beinhaltet, ist es mir möglich Unternehmen schnell und effektiv auf ein solides Niveau zu bringen.