Mit dem Format #sichtbar im Dialog sprechen wir mit Mitgliedern des Cyber Security Clusters Bonn über Ihr Unternehmen, Ihre Geschäftsbereiche und verknüpfen diese mit aktuellen Themen, die Sie und uns bewegen. Lernen Sie auf diese Art und Weise auch die dahinterstehenden Menschen und Ihre ganz persönliche Motivation kennen.
#sichtbar im Dialog mit Christian Mellen, Leitung IT Compliance, von der steep GmbH.
Herr Mellen, das Unternehmen steep wurde in den 1960iger Jahren gegründet. Beschreiben Sie uns gerne den Weg vom Anbieter von Radarsystemen hin zum modernen IT-Sicherheitsdienstleister.
Die Wurzeln unseres Unternehmens liegen in der Tat im Bereich Installation, Integration und Systembetreuung verschiedener Radarsysteme, was auch heute noch fester Bestandteil unseres Leistungsportfolios ist. Alle weiteren Leistungen haben sich im Laufe der Jahre aus konkreten Projekten und damit „organisch“ entwickelt. So eröffnete der Aufbau von Dokumentationserstellung und Ausbau von Ausbildungs- und Trainingsmaßnahmen, verbunden mit dem Bau diverser Schulungszentren in Deutschland, auch gleichzeitig den Zugang zu weiteren Geschäftsbereichen. In den 1990iger Jahren erweiterte sich steep in Richtung Telekommunikationssektor und dem Aufbau neuer Standorte, vor allem der damals aktive Bereich des „Public Private Partnerships“: Der Betrieb von Justizvollzugsanstalten, der heute in der Business Unit Managed Services in Partnership verortet ist. In den 2000er Jahren wurden unter anderem Leistungen im Bereich der elektromagnetischen Verträglichkeit (EMV Prüfung) sowie die Installation und Systembetreuung von DV-Systemen, Serviceleistungen für die multinationale Organisation OCCAR und das Gesamtmanagement des Gefechtsübungszentrums Heer übernommen, was auch den Vorstoß in den IT-Markt mit sich brachte. Heute verstehen wir uns neben allen anderen Geschäftsfeldern als Full-Service IT-Provider, bei dem das Thema IT-Sicherheit fest verankert ist.
Wie man sieht: Ein enorm breites Spektrum an Dienstleistungen, Produkten und Aufgaben, welches sich nach und nach aus bestehendem Know-how entwickelt hat!
Unter dem Bereich IT-Compliance verbinden Sie u.a. Sicherheitslösungen direkt mit dem Thema Datenschutz. Schenken Sie uns einen Einblick in die spannende Kombination von Technik und Paragrafen.
Diese besondere Kombination sieht man am Markt eher selten. Viele konzentrieren sich ausschließlich auf Konzeption und/oder die technische Seite der IT Sicherheit, andere kümmern sich „nur“ um den Datenschutz und dessen rechtliche Bewertung. Aber: Am Ende des Tages laufen diese beiden Themen in der Praxis bei allen Unternehmen unweigerlich zusammen. Denn ich kann die rechtlichen Vorgaben des Datenschutzes nur dann einhalten, wenn ich über die richtigen (und dem Stand der Technik entsprechenden) Voraussetzungen im Bereich der IT-Security verfüge. Andersherum sollte bei fast jeder Softwareentwicklung auch ein Datenschützer frühzeitig mit ins Boot geholt werden. Spannend wird diese Kombination insbesondere dann, wenn Informatiker und Juristen in einem (virtuellen) Raum zusammentreffen und ihre Sichtweisen auf das Thema austauschen. Gerade dieser Austausch ist ein enormer Erfahrungsgewinn für beide Seiten und spiegelt an dieser Stelle unseren entscheidenden Wettbewerbsvorteil in diesem Bereich wider. Hier können wir wirklich punkten, denn eine solide juristische Betrachtung von stark technisch geprägten Themen ist in dieser Kombination nur in enger und vertrauensvoller Zusammenarbeit möglich.
Das Thema Training & Learning ist einer Ihrer Kernbereiche. Welches ist Ihr vielleicht außergewöhnlichstes Trainings- bzw. Schulungsangebot?
Da fällt mir spontan unser Escape-the-Container® ein. Stellen Sie sich das moderne Konzept des Escape Rooms und die brandaktuellen Themen rund um die gelebte Informationssicherheit in einem Mix vor. Unsere Sicherheitsexperten haben hier ein spannendes Szenario kreiert, in dem auch Laien interaktiv Ihr Bewusstsein für Informationssicherheit schärfen können. Sie schlüpfen in die Rolle eines Eindringlings und verschaffen sich Zutritt, Zugang und Zugriff zu sensiblen Informationen. Überzeugen Sie sich davon, dass Sie – nur ausgerüstet mit Einfallsreichtum und Vorsatz – beträchtliches erreichen können, wenn Sie es einmal darauf anlegen, und dass ein persönlicher IT-Hintergrund keine Grundvoraussetzung ist. Über den modernen Gamification-Ansatz holen wir die Teilnehmer*innen motivational ab und kreieren damit ein interaktives, kompetitives Trainingskonzept. So erhalten traditionelle Informationssicherheitsschulungen zur Erhaltung der Zertifizierung nach ISO oder BSI Grundschutz ein ganz anderes Format und Effekte in der Teambildung sind ebenfalls immer erkennbar. Das alles in einem einzigen Container und damit mobil problemlos auch direkt vor Ort beim Kunden möglich.
Aktuell unterstützen wir im Bereich IT-Sicherheit bereits die Cyberwehr Baden-Württemberg, bald bestimmt auch das Cyber Security Netzwerk des BSI. Im Bereich Datenschutz bieten wir kurze und knackige Aufbereitungen von Themen fast jeden Monat in kostenlosen online Veranstaltungen, die man über Xing und Twitter findet.
Eines Ihrer aktuellen Projekte wurde als „Flugplatz to go“ betitelt. Wie gelingt es, einen transportablen Flughafen zu kreieren?
Durch einen modularen Aufbau und viel (technisches) Know-how. Unser System ermöglicht die ortsunabhängige Errichtung einer Flugplatz- und Anflugkontrollstelle in Containerbauweise einschließlich notwendiger Sensorik und Technik. Die Bundeswehr wird damit in die Lage versetzt, einen autarken Flugplatz in einem Einsatzland zu errichten und zu betreiben – insbesondere an Einsatzorten, an denen eine Flugbetriebsinfrastruktur nicht oder ungenügend verfügbar ist. Die Flugsicherungsanlage ist zudem auf allen gängigen Fahrzeugen, sowie per Lufttransport mit dem Luftfahrzeug A400M, transportierbar. Mit diesem „Flugplatz to go“ kann die Bundeswehr nicht nur flexibel auf internationale Herausforderungen reagieren, sondern trägt letztlich zur Sicherheit der Soldatinnen und Soldaten in den Einsatzgebieten bei. Und auch hier geht es natürlich um IT und IT Sicherheit.
Wie oben schon erwähnt, zählt auch die Bundeswehr zu Ihrer Kundengruppe. Mit welchen weiteren Systemen können Sie die Sicherheit der Soldatinnen und Soldaten nachhaltig verbessern?
Ein weiteres Beispiel: Die Bundeswehr sichert Feldlagerzugänge u.a. mit einer unserer Containerlösungen, der Stationären Ferndetektion, bei denen die Personen durch ein Schleusensystem gelenkt werden, in dem mehrere personenbezogene Faktoren abgeglichen werden, so dass nur als sicher authentifizierte Personen Zugang erhalten. Ein Schutz auch vor Selbstmordattentätern, leider ein sehr aktuelles Thema. In diesen Systemen ist natürlich zum Beispiel zur Identifikation von Gefahren auch IT enthalten, die wiederum Informationssicherheit benötigt. Insofern sind Kolleginnen und Kollegen aus der IT Compliance in der Entwicklungsphase in diese Projekte involviert.
Aktuell erhalten immer mehr elektronische Geräte und Bauteile Einzug in unseren Alltag, welche reibungslos nebeneinander funktionieren müssen. Mit Ihren beiden EMV-Zentren sorgen Sie genau für diese Sicherheit. Wie darf ich mir das vorstellen?
Bei elektrischen und elektronischen Geräten wollen wir Verlässlichkeit und sichere Funktionalität. Eine schreckliche Vorstellung, dass durch externe Faktoren, etwa Strahlung, der Airbag im Wagen auslöst oder der Aufzug stecken bleibt. Daher muss festgestellt werden ob diese Gefahr besteht, bzw. diese ausgeschlossen werden. Hier kommen wir ins Spiel. Es gibt die CE Kennzeichnung, die auch eine EMV (elektromagnetische Verträglichkeit) Prüfung enthält. Diese CE Norm müssen, einfach gesagt, alle Geräte, die in der EU in Umlauf gebracht werden, und einen Stecker enthalten, entsprechen. steep kann in EMV Hallen entsprechend sehr vieler Normen akkreditierte Prüfungen durchführen und unser Leben ein Stück sicherer machen.
Das Thema Fachkräftemangel begleitet aktuell nicht nur die IT- bzw. die IT-Security-Branche. Welche Ansätze sehen Sie, um dieser Herausforderung erfolgreich zu begegnen?
steep unterstützt Forschung und Lehre an Hochschulen, z.B. der HS St. Augustin (H-BRS), bei der ich gerade im letzten Jahr eine Masterthesis betreut habe, die sich mit Schwachstellenscans auseinandersetzte. Es werden Kontakte zu weiteren Unis und Hochschulen gepflegt, ebenso ist das BSI nicht allzu weit entfernt. Auf diesem Weg versuchen wir, steep frühzeitig als möglichen Arbeitgeber bekannter zu machen. Natürlich ist allgemein der Markt im IT Sicherheitsbereich eher durch zu viel Nachfrage für zu wenig Personal gekennzeichnet. Dies trifft die gesamte Branche und trotz aller aktuellen Anstrengungen wird es der Branche insgesamt nicht gelingen, den Bedarf gut ausgebildeter Mitarbeiterinnen und Mitarbeiter kurzfristig zu decken.
Ansonsten sehen wir den Mittelstand – wie wir es sind – im Vorteil, weil man hier viel Freiraum für persönliche Entwicklung hat. Wir bieten eine „Beinfreiheit“, die es in großen Konzernen oft nicht gibt.
Wie wurden Sie auf das Cyber Security Cluster Bonn aufmerksam?
Nach meinem Umzug Richtung Bonn und in der Zeit, in der das noch möglich war, habe ich an einer real life Veranstaltung des Bonner Dialogs für Cybersicherheit in einem großen Hörsaal der Uni Bonn teilgenommen. Dort habe ich das erste Mal das Logo des CSCBN gesehen und mich informiert – steep ist dann als Mitglied Nr. 73 dem Cluster beigetreten. Der offene Austausch untereinander ist mir extrem wichtig. Wissen ist eines der wenigen Dinge, die sich durch Teilen vermehren.
Welche Motivation geben Sie anderen „noch nicht Cluster Mitgliedern“ mit auf den Weg sich ebenfalls zu engagieren?
In den letzten Monaten sahen wir alle eine Zunahme an großen Möglichkeiten, großen Ausschreibungen und möglichen Angeboten in großem Umfang. Kaum jemand aus dem Cluster wird diese Angebote alleine mit Personal bestücken können, hierzu fehlen fast überall die Ressourcen. Hier sehe ich für die Zukunft Möglichkeiten der Zusammenarbeit in derart großen Angeboten – steep ist offen für derartige Zusammenarbeit und Kooperationen.