NCP-Talk mit Sebastian - Chief Information Security Officer

Erzähl uns ein bisschen von dir:

Ich bin Sebastian und als gelernter und studierter Informatiker seit 11 Jahren im IT-Business zuhause. Ich habe in meiner beruflichen Laufbahn schon verschiedene Positionen im Kontext eines IT-Unternehmens bekleidet. Ich war sowohl im Innovationsmanagement als auch im Vertrieb und im Produktmanagement tätig. Bevor ich die Position als CISO in Vollzeit bekleidet habe, habe ich bei NCP die technische Kundenbetreuung geleitet und hier sowohl das Team System Engineering wie auch Technisches Server Engineering betreut.

Der Begriff „Governance“ gewinnt im Unternehmensumfeld immer mehr an Bedeutung. Kannst du uns in ein paar Sätzen erklären, was man sich darunter vorstellen kann?

Governance beschreibt die Steuerungs- und Regelungssysteme im Sinn von Strukturen (Aufbau- und Ablauforganisation) eines Unternehmens. Bezogen auf den Bereich der Informationssicherheit bzw. der IT sind das die Aufbau- und Ablauforganisation des IT-/TK-Betriebs. Diese wird durch die Geschäftsführung vorgegeben. Ziel ist es, die übergreifenden Anforderungen an die Organisation zu erreichen.

Du bist als CISO bei der Firma NCP eingestellt. Was sind die Hauptaufgaben eines Chief Information Security Officer?

Die Hauptaufgaben eines CISO sind die kontinuierliche Sicherherstellung der Umsetzung der Informationssicherheit innerhalb des Unternehmens. Dazu gehören die Entwicklung und Umsetzung von Cybersicherheitsstrategien, die Bewertung von Risiken, die Entwicklung und Umsetzung von Sicherheitsmaßnahmen, die Überwachung der Sicherheitslage und die Schulung von Mitarbeitern in Bezug auf Cybersicherheit. Beispielsweise werden durch mich bei Neueinstellungen von Mitarbeitenden die Schulungen zum Thema Informationssicherheit und Datenschutz versendet.

Bei NCP wurde das sogenannte „Product Security Board” eingeführt. Was hat es damit auf sich?

Das Product Security Board ist ein Team, welches sich aus Spezialisten der Entwicklung zusammensetzt, die aufkommende IT-Securitythemen im Kontext unserer Produkte analysiert und bewertet. Beispielsweise zählen hierzu die intern und extern gemeldeten Schwachstellen.

Der CISO gilt als verantwortungsvolle Position in einem Unternehmen. Was sind die größten Herausforderungen in deinem Job?

Die größte Herausforderung im Kontext meines Jobs bei NCP ist es, die Balance zwischen den strategischen und operativen Themen zu finden. Das Thema Informationssicherheit entwickelt sich stetig weiter – immer größer werdende Anforderungen im Kontext der außenpolitischen Lage sowie der EU und innerhalb des Unternehmens müssen analysiert, bewertet und implementiert werden. Dabei muss stetig abgewogen werden zwischen den Anforderungen der Softwareentwicklung, um schnelle und sicherer Produkte an den Markt zu bringen, und der Umsetzung der Compliance-Anforderungen an das Unternehmen. Sowohl die NIS2-Richtlinie als auch der Europäische Cyber Resilience Act werden unmittelbar und mittelbar Auswirkungen auf das Unternehmen haben.

Du hast schon viele Jahre mit IT-Sicherheit zu tun. Wie hat sich dieser Bereich in den letzten Jahren geändert?

Sowohl der Umfang der Anforderungen als auch die Schnelligkeit, mit den neuen Anforderungen in den Markt gebracht werden, hat sich stark verändert. Wo früher noch einzelne Richtlinien und Anforderungen aus Kundenverträgen im Vordergrund standen, sprechen wir heute fast nur noch über die Umsetzung von Anforderungen im Kontext der Informationssicherheit, die durch die EU vorgegeben und im Anschluss in nationales Recht umgesetzt werden müssen. Eine ISO-27001-Zertifizierung spielt eine immer größere Rolle, da die Anforderungen in der Zukunft nur noch mit einem standardisierten Nachweis erfolgen können.

Außerdem bist du leidenschaftlicher Handball-Fan und engagierst dich ehrenamtlich bei einem Handballverein. Wie wichtig ist es für dich, einen Ausgleich zum beruflichen Alltag zu haben?

Der Ausgleich ist mir sehr wichtig. Den Kopf ausschalten, Abstand vom Alltag zu bekommen – das kann ich auf der Handballplatte sehr gut. Nach vielen Jahres des aktiven Handballer-Lebens habe ich vor ein paar Jahren hinter die Bande als Abteilungsleiter gewechselt. Ich organisiere und manage, so dass die Mannschaften ihrem Hobby nachgehen können und am Wochenende eine Halle für ihren Punktspielbetrieb zur Verfügung haben.