62. CIO-Erfahrungsaustausch: CISO Praxisbericht; Levers of Control und Security Update

Der CIO Erfahrungsaustausch von VOICE stand am 29.09 fast ausschließlich im Zeichen der Security. Die Ausnahme bildete das WissensNugget von Professor Christopher Rentrop von der Hochschule Konstanz. Er erklärte das von Robert Simons entwickelte Framework „Levers of Control“.

Vier Hebel für die Strategie-Umsetzung

Nach Simons (1995) hat das Management vier Hebel zur Umsetzung der Unternehmensstrategie, die jeweils durch spezifische Führungs- und Steuerungssysteme repräsentiert sind. Diese sind das diagnostische Steuerungssystem (Diagnostic-Control-System), das interaktive Steuerungssystem (Interactive-Control-System), das Abgrenzungssystem (Boundary-System) und das Wertesystem (Belief-System). Rentrop warnte davor, bei der Einführung von Governance-Systemen gleich welcher Art Short Cuts zu nehmen. Die Einführung derartige Systeme brauche genauso seine Zeit, wie sie mit Leben zu füllen.

In Sachen Sicherheit machten wie immer im CIO-Erfahrungsaustausch VOICE-Security-Spezialist Dirk Ockel und Peter Vahrenhorst vom LKA NRW den Anfang.  Ockel berichtete von Sicherheitsvorfällen bei United Health Centers und von Sicherheitslücken in den Google- Microsoft-Browsern sowie Schwachstellen im Virenscanner von Trend Micro und erneuten kritischen Schwachstellen in VMWare. Vahrenhorst erwähnte zwei Ransomware-Angriffe auf Rüstungsunternehmen in NRW.

Security von Evonik vorgestellt

Last, but not Least stellte Manuel Scholz, CISO des Spezialchemie-Anbieters Evonik die aktuelle Security-Strategie des Unternehmens vor. Evoniks Security-Tema berücksichtigt in seinen Sicherheitsprogrammen – nicht nur im aktuellen – die Weiterentwicklung der Bedrohungslandschaft, den Veränderungen in der IT Technologie, den Wandel der IT-Strategie und natürlich der effizienten Zuordnung von Ressourcen. Im aktuellen Programm sollen alle existierenden Sicherheitsmaßnahmen überprüft und wo nötig aktualisiert werden. Es geht wenig überraschenderweise um erweiterten und gestärkten Schutz. Dabei spielt auch die Abwehr von Spionage eine wichtige Rolle.

Insgesamt orientiert sich  Evonik sich dabei an der weltweit verfügbaren Wissensbasis  MITRE ATT&CK, in der sehr viele tatsächlich genutzte Angriffstaktiken und -technologien verzeichnet und erklärt sind. Verständlicherweise bat Herr Scholz darum, seine Ausführungen im Kreis des CIO-Erfahrungsaustausches zu belassen und keine Details nach Außen zu tragen. Daran halten wir uns natürlich…

Der nächste CIO-Erfahrungsaustausch findet am kommenden Mittwoch, den 06.10.2021 wie immer um 18.00 Uhr statt. Dabei steht ein Impulsvortrag zum Thema Outsourcing im Mittelpunkt. Wenn Sie am VOICE CIO-Erfahrungsaustausch teilnehmen möchten, aber noch kein VOICE-Mitglied sind, melden Sie sich einfach beim VOICE-Kollegen Grischa Thoms (grischa.thoms@voice-ev.org.)