Thomas Kochanek - TÜV TRUST IT GmbH

Thomas Kochanek – Auditor Information Security – Berater Management & Technologies – ist bei der TÜV TRUST IT als Principal Consultant tätig.

Nach seiner Ausbildung zum Fachinformatiker, Fachrichtung Systemintegration war er sechs Jahre bei der Flughafen Köln/Bonn GmbH als IT-Security Manager angestellt, entwickelte und administrierte dort IT-Sicherheits- und Internetlösungen und begleitete diverse Projekte als Verantwortlicher für IT-Sicherheit.Hiernach wechselte Herr Kochanek zur TÜV Rheinland Secure iT GmbH, wo er neben der Beratung zur Einführung von Informationssicherheitsmanagementsystemen (ISMS) nach ISO 27001 als Auditor tätig war.

Er ist akkreditierter ISO 27001 Lead Auditor und durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum ISO27001 Auditteamleiter für Audits auf Basis von IT-Grundschutz sowie IS-Revisor berufen. Ebenfalls ist Kochanek Auditor "Smart Meter Gateway Administrator" für BSI TR-03109-6.

Die Weiterbildungen zum Certified Information Systems Auditor (CISA), Certified in Risk and Information Systems Control (CRISC) sowie weitere Personenzertifizierungen, schloss er jeweils erfolgreich ab. Bei Kunden im In- und Ausland führt er Security Audits und Risikoanalysen nach den Standards ISO/IEC 27001:2013 und IT-Grundschutz durch. Weiterhin unterstützt er Kunden bei IT-Grundschutz Projekten, sowie bei der Einführung von Informationssicherheits-Managementsystemen nach ISO/IEC 27001:2013.


Abstract des Vortrages

Digitale Transformation – das Cyber Security Lagebild 2016  

Der digitale Wandel hat längst alle Branchen sowie alle Bereiche der Unternehmen erfasst. Mit Industrie 4.0 und IoT schreitet dieser Prozess mit großen Schritten weiter voran. Doch was bedeutet das für die Informationssicherheit? Wie sieht unser Cyber Security Lagebild in 2016 aus? Reichen die eigenen Cyber Security Maßnahmen aus? Welches sind die Top-Bedrohungen und was sind die besten Maßnahmen zum Schutz gegen diese Bedrohungen? Sollte der digitale Wandel sinnvollerweise gebremst werden und ist dies überhaupt möglich? Sind Cloud Lösungen ggf. zu vermeiden?  

Immer mehr Unternehmen werden durch Gesetzgebungen wie das IT-Sicherheitsgesetz sowie regulatorische Vorgaben wie den IT-Sicherheitskatalog o.ä. dazu verpflichtet, ihre Informationssicherheit nachweislich zu steuern und Meldestellen für Informationssicherheitsvorfälle zu Behörden einzurichten. Aber reichen diese technischen und organisatorischen Mittel aus, um einen umfassenden Schutz sicherzustellen?  

Der erste Vortragsteil wird auf die aktuelle Cyber Security Lage und auf die zunehmende Dynamik von Cyber Bedrohungen eingehen. Aus zahlreichen Projekten des Referenten und seines Teams wurde ein branchenübergreifendes Cyber Security Lagebild abgeleitet. Unterfüttert wurde das Lagebild mit Analysen im Rahmen von Umfragen. Anhand des Lagebilds wird erläutert, wie sich die Bedrohungslage in den letzten Jahren entwickelt hat und mit welchen Maßnahmen die Unternehmen den resultierenden Risiken begegnen.  

Im zweiten Vortragsteil wird das Thema „Security Community“ beleuchtet. Die Idee hinter diesem Ansatz ist, voneinander zu lernen, die vorhandenen Bedrohungen gemeinsam zu bewältigen und in der Gruppe stärker zu sein. Die Angreifer haben sich längst zu Gruppen zusammengeschlossen, Unternehmen nutzten diese Strategie allerdings bisher nur zögerlich. Am Beispiel des Cyber Security Competence Centers (CSCC) des Anwenderverbands VOICE wird ein Erfolgsmodell für eine solche, bereits seit einigen Jahren erfolgreich etablierte Security Community aufgezeigt. Weitere Beispiele im Vortrag werden zeigen, dass auch bereits andere bestehende Arbeitsgruppen für eben diese Belange genutzt werden könnten und geben Hinweise dazu, wie dieser Ansatz umgesetzt werden kann.  

Abschließend wird auf das Spannungsfeld Informationssicherheit und Digitale Transformation eingegangen. Beleuchtet werden typische Probleme sowie erfolgreiche Ansätze, um neue Technologien wertschöpfend einzusetzen. Wichtig dabei ist das Zusammenspiel von Fachabteilungen und der IT. Oft wird als Vermittler eine neue Rolle, der CDO (Chief Digital Officer), installiert. Im Vortrag wird auf die Aufgaben eines CDO sowie die Fragestellung „Ist die IT Enabler für die Digitale Transformation?“ eingegangen.