Dr. Willi Kafitz - Security Management Consultant

Dr. Willi Kafitz war 30 Jahre bei Siemens oder mit Siemens verbundenen Unternehmen beschäftigt und ist mittlerweile im Vorruhestand. 

Über 20 Jahre widmete er sich der Informationssicherheit. Seine Arbeitsschwerpunkte waren u.a. Public Key Infrastrukturen und Information Security Management. In den letzten Jahren liegt sein besonderes Interesse bei den kritischen Infrastrukturen. Im Bereich PKI betreute er in Zusammenarbeit mit weiteren namhaften Mitgliedern wie E.ON, Siemens, der Deutschen Bank und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) das PKI-Vertrauensnetzwerk "TeleTrusT European Bridge CA" (EBCA). 

Der EVU-Branche ist er seit 15 Jahren über das VEDIS-Projekt beim Bundesverband der Energie- und Wasserwirtschaft (BDEW) verbunden. Dort wurde die Absicherung der EDI-Marktkommunikation im liberalisierten Energiemarkt im Auftrag großer Energieversorger und in enger Abstimmung mit dem Verband von ihm mehrere Jahre koordiniert.

Er ist Autor von über 80 Fachartikeln.


Abstract des Vortrags

Mehr Kommunikation verlangt mehr Sicherheit

Zahlreiche drastische Sicherheitsvorfälle gerade in jüngster Zeit haben dazu geführt, dass der Schutz von kritischen Infrastrukturen in vielen Staaten zu einem Fall für die nationale Sicherheit wurde. Rechtliche Konsequenzen werden auf europäischer Ebene mit der NIS-Richtlinie (NIS=Network and Information Security) erwartet.

Diese bereits vom europäischen Parlament verabschiedete zukünftige EU-Direktive wird in Deutschland mit dem sogenannten IT-Sicherheitsgesetz umgesetzt. Ziel der Gesetze und weiterer Initiativen muss es sein, zu einem qualifizierten nationalen bzw. europäischen Lagebild für IT-Sicherheitsrisiken zu kommen. Dies wiederum setzt ein Meldewesen in den Unternehmen und Institutionen voraus, um bessere Informationen zu den Bedrohungen zu erhalten.

Dafür ist eine Organisation Voraussetzung, die Sicherheitsvorfälle meldet, aber auch Informationen "von oben" auf Relevanz für das eigene Haus bewerten kann. Das Gesetz verlangt ein nachweisbares Sicherheitsniveau für die Betreiber kritischer Infrastrukturen im volkswirtschaftlichen Sinne, d.h. Sicherheitsorganisation und technische Sicherheitsvorkehrungen müssen durch einen externen Auditor zertifiziert werden.

Seit Jahrzehnten ist der Schutz von Leib und Leben ("Safety") gesetzlich reguliert. Erstmals werden nun auch Risiken für die Informationssicherheit ("Security"), zumindest für einzelne Branchen, nicht mehr dem frei gewählten unternehmerischen Risiko unterliegen.