Als Ingenieur den Hacker verstehen (am Beispiel der Kommunikationsschnittstelle)

Unser Ziel als Ingenieure ist es die Anforderungen mit minimalem Ressourcenaufwand unter Berücksichtigung der Sicherheitsanforderungen (Safety) zu erfüllen. Wir wollen die richtigen Dinge richtig tun. Das Ziel des Hackers hingegen ist es mit den vorhandenen Ressourcen etwas Neues zu tun (nicht Teil der Zweckbestimmung), für ihn spannende Daten zu erhalten (Verletzung der Privatsphäre) oder einfach Spass zu haben.

Der Hacker ist ein Element des vorhersehbaren Missbrauches (foreseeable misuse) und muss bei der Entwicklung vernetzter, medizintechnischer Produkte berücksichtig werden. In unserem Vortrag beleuchten wir das Vorgehen eines Hackers bei einem Angriff auf ein vernetztes, mobiles Medizintechnik Produkt über die Kommunikationsschnittstellen. Wir vertiefen die Nutzung von bekannten Schwachstellen, insbesondere den Einsatz von Brute Force und Fuzzing Techniken. Findet sich mit diesen Methoden kein Einfallstor, so besteht die Möglichkeit die Infrastruktur zu kompromittieren. Auch hierzu geben wir Tipps und Tricks.

Referenten: Urs Anliker und Torben Rühl, Helbling Technik Bern AG

Urs Anliker hat an der ETH Zürich Elektrotechnik studiert und im Bereich Wearable Computing promoviert. Seine berufliche Laufbahn startete er bei Helbling Technik in Bern als Entwicklungsingenieur im Bereich Mikrotechnik, Optik und Medizintechnik. Bei Helbling hat Urs Anliker bald Projektleitungsaufgaben übernommen. CI Tech Components AG als Leiter Produkt Verifikation und Validation war seine nächste Station, Software, Elektronik, Mechanik und Signalverarbeitung für die Erkennung von Banknoten waren das zentrale Thema. Es folge die Entwicklungsleitung im Bereich Cyber Security bei RUAG, Mustererkennung und Software-Entwicklung standen im Fokus. Heute arbeitet Urs Anliker wieder bei der Helbling Technik in Bern als Teamleiter Medizinische Software. Cyber Security, Mustererkennung, Signalverarbeitung und (medizintechnische) mechatronische Systeme sind weiterhin wichtige Themen in seinem Alltag.

Torben Rühl hat an der Philipps-Universität Marburg Informatik mit Schwerpunkt Data Mining und Knowledge Discovery studiert. Seine berufliche Laufbahn startete er bei Swisscom (Schweiz) als Entwicklungsingenieur im Bereich Netzwerkdatenanalyse. Bei RUAG entwickelte er Software zur Erkennung von Netzwerkanomalien durch maschinelles Lernen. Die Leitung eines Teams mit Schwerpunkt Simulation und Analyse von Netzwerkattacken gehörte bald ebenfalls zu seinen Aufgaben. Inzwischen arbeitet Torben Rühl als Fachspezialist Medical Embedded Software bei Helbling Technik in Bern. Er entwickelt Software für medizinische Geräte, erarbeitet Sicherheitskonzepte für Medizintechnik Produkte und unterstützt seine Kollegen im Bereich Cyber Security.

Hoodie oder Hosenanzug – eine Taxonomie von Angreifern

Beim Threat Modelling versuchen wir, Bedrohungen unserer Assets durch Gegenspieler systematisch zu erfassen. Dazu müssen wir aber zunächst wissen, mit wem wir es eigentlich zu tun haben. Spoiler: Der Hacker im Kapuzenpulli ist nicht unbedingt das größte Risiko. Dieser Vortrag exploriert die verschiedenen Typen von Angreifern, deren Ziele, Motivation und finanzielle wie technische Möglichkeiten. Er bietet außerdem hilfreiche Anknüpfungspunkte wie diese Informationen im Cybersecurity-Risikomanagement sinnvoll weiterverwendet werden können.

Referent: Oliver Brahmstädt, Brahmstädt UG

Oliver Brahmstädt ist Diplom-Wirtschaftsinformatiker und arbeitet als IT-Security Analyst und Ethical Hacker an der Übersetzung von security-relevanten Normen und Standards in interne Prozesse sowie deren praktischen Umsetzung und Verifikation im Software Development Lifecycle. Mit 20-jährigem Hintergrund als Anwendungsentwickler, im Cloud- & Infrastrukturbetrieb und durch seine Tätigkeit als Dozent für „Rechnernetze“ füllt er für namhaften Medizingeräte-Herstellern wie Carl Zeiss Meditec oder Fresenius Medical Care die Lücken in den eigenen Reihen.

Cyber Security für Medizinprodukte aus Sicht einer benannten Stelle

Die Präsentation wird folgende Themen beinhalten

• Motivation für Cyber Security
• Entwicklung der regulatorischen Landschaft
• Highlights der MDCG 2019-16
• Einblicke in 81001-5-1
• Der Umbruch von „penetrate & patch“ zum „Secure Development Lifecycle“
• Gängige Fehler bei der Einreichung der technischen Dokumentation im Bereich Cyber Security
• Tipps für MDR Audits im Bereich der Cyber Security
• TÜV SÜD – Cyber Security services für Medizinprodukte

Referent: Jan Küfner, TÜV SÜD Product Service GmbH

Jan arbeitet bei TÜV SÜD im Bereich Medical Health Services (MHS) im Bereich der benannten Stelle. In seiner Rolle als Senior Product Specialist (SPS) ist er für folgende Aufgaben verantwortlich:

• Festlegung von Mindestanforderungen für die Zulassung (nach MDR, MDCG & relevanten Standards)
• Erstellen von Berichtsvorlagen für die Zulassung und für Audits (nach MDR, MDCG & relevanten Standards)
• Einführung des Cybersecurity Testing im Bereich der unangekündigten Audits
• Erstellen und Durchführen von Trainings

Jan führt außerdem Bewertungen für die Zulassung durch und ist als Auditor tätig. Darüber hinaus ist er aber auch als Pen-Tester für MHS tätig, sowie Mitglied im Normenkomitee zur IEC TR 60601-4-5

Software-Bill-Of-Material: Transparente Verantwortung für Informationssicherheit

Der Vortrag stellt die Software-Bill-Of-Material als Dokument zur Unterstützung der Informationssicherheit vernetzter Medizingeräte vor. Neben den technischen Grundlagen werden auch die Anforderungen der IMDRF sowie der FDA erläutert. Der Vortrag beleuchtet die praktischen Aspekte der vorgesehenen Anwendungen der SBOM in post-market-Prozessen und plädiert anschließend für eine transparente Aufteilung der Verantwortung für Informationssicherheit im Lebenszyklus vernetzter Medizingeräte.

Referent: Dr. Georg Heidenreich, Director Health IT Standards Siemens Healthineers

Dr. Georg Heidenreich hat nach dem Diplom in Informatik als Berater für interaktive Entwurfssysteme gearbeitet und promovierte im Rahmen einer Kooperation mit der Universität Erlangen in Ingenieurwissenschaften. Nach einem Start bei Siemens als Software-Entwickler ist er mittlerweile als „Director Health IT Standards“ bei Siemens Healthineers. In dieser Funktion arbeitet er auch in externen Gremien, beispielsweise als Leiter der DKE 811.3 „Vernetzte Medizingeräte“ sowie DIN NAMed „Sicherheit“ sowie IEC SC62A JWG7 „Safety, effectiveness and security of health IT networks“. Dr. Heidenreich hat in 2015 mit Gerd Neumann ein Fachbuch „Software für Medizingeräte“ veröffentlich und 2021 mit Ben Kokx die Norm IEC 81001-5-1 über Prozesse für Informationssicherheit in Medizingeräten.

Penetrationstests bei serverlos implementierten digitalen Gesundheitsanwendungen

Hersteller von Digitalen Gesundheitsanwendungen müssen dem Bundesministerium für Arzneimittel und Medizinprodukte den Nachweis über die Durchführung eines Penetrationstests der Anwendung erbringen. Daher ist wichtig zu begreifen, wie ein solcher Test definiert sein muss, um die Vorgaben als Hersteller zu erfüllen. Wird die Digitale Gesundheitsanwendung mittels serverloser Dienste implementiert stellt dies den Penetrationstester vor besondere Herausforderungen. Diese Keynote stellt dar, wie ein Penetrationstest einer serverlosen Webanwendung definiert sein sollte, um den Anforderungen gerecht zu werden.

Dabei werden Einschränkung des vorgegebene Durchführungskonzept des Bundesamtes für Informationssicherheit sichtbar, die aufgrund des Alters des Konzeptes bestehen. Neben dieser Herausforderung wird gezeigt, dass ein Test, der die serverlosen Dienste von außen testet, den Durchführenden vor Hürden stellt.

Referent: Lars Kriese, Software Security Engineer bei der PARI GmbH

Lars Kriese ist als Software Security Engineer bei der PARI GmbH beschäftigt und betreut unter anderem die serverlosen Gesundheitsanwendungen im AWS-Umfeld, um dort die Anforderungen an Informationssicherheit zu erfüllen. Vor seiner Zeit in dem Bereich der Informationstechnologie hat er in der Laufbahn der Unteroffiziere der deutschen Gebirgsjägertruppe gedient. Die Ausbildung zum Fachinformatiker bei PARI absolvierte er mit Anerkennung des bayrischen Staatspreises. Danach studierte er dual Wirtschaftsinformatik (B.Sc.) an der Hochschule München.

Cybersecurity-Risikomanagement: Denken wie ein Angreifer

Bei der Konformitätsbewertung von Medizinprodukten (auch von Software!) muss die Cybersecurity (Informationssicherheit) beachtet werden!
Nicht nur auf freiwilliger Basis, sondern zwingend, weil es Gesetz ist. Siehe „Grundlegende Sicherheits- und Leistungsanforderungen“ Anhang I, 17.2. und 17.4. der MDR, aber auch die IVDR hat in Anhang I, 16.2 und 16.4 entsprechende Forderungen.

Im Rahmen dieses Vortrags gebe ich praktische Hilfestellung und zeige unser schrittweises Vorgehen, diesmal mit Fokus auf dem „Threat Modeling“. Denn damit kann das Vorgehen eines Angreifers vorausgeahnt werden. Und durch geeignete Maßnahmen lässt sich verhindern, dass Cyber-Attacken zum Erfolg führen.

Struktur des Vortrags:
Der Vortrag erläutert kurz die Anforderungen an die Informationssicherheit, die sich etwa aus Normen und technischen Standards ergeben und zeigt, wie Schritt-für-Schritt ein Cybersecurity-Risiko-Management durchgeführt werden kann.
Den Fragen „Auf welche Art könnte ein Angreifer das System angreifen?“ und „Wie können wir verhindern, dass der Angreifer Erfolg hat?“ widmen wir in diesem Rahmen mit speziellem Fokus. Da wir uns in der Medizintechnik bewegen, muss das „Threat-Modeling“ sowohl die Betriebssicherheit (engl.: Safety) als auch die Informationssicherheit (engl. Security) berücksichtigen.

Referent: Hans Wenner, Senior Manager Regulatory Affairs VDE Verband der Elektrotechnik Elektronik Informationstechnik e. V. 

Hans Wenner ist Dipl.-Ing. Elektrotechnik. Nach Stationen in der Industrie, bei einer Benannten Stelle und über 20 Jahren selbstständiger Tätigkeit beschäftigt er sich beim VDE mit der praktischen Umsetzung regulatorischer und normativer Anforderungen für Medizinprodukte und Software. Er ist langjähriges aktives Mitglied in einschlägigen nationalen und internationalen Standardisierungsgruppen und hat verschiedenste Publikationen veröffentlicht.

Das Unternehme: Der VDE vermittelt Fachwissen, erarbeitet Normen, bietet Prüf- und Zertifizierungsleistungen und berät bei der Zulassung von Medizinprodukten und Software.

Cybersecurity in der Medizintechnik: Pragmatische Ansätze

In den letzten zehn Jahren wurde viel über Cybersecurity diskutiert, aber wie kann dieses Thema in der Medizintechnik praktisch und pragmatisch in Angriff genommen werden? Viele Unternehmen sind relativ klein und verfügen nur über begrenzte Ressourcen in einer ohnehin schon überlasteten Branche.

Das Ausbleiben der lang erwarteten zweiten Ausgabe der IEC 62304 hat nicht dazu beigetragen, eine Defacto-Norm für diesen komplexen Themenbereich zu etablieren. Dies wurde in gewissem Maße durch die zahlreichen themenspezifischen Cybersecurity Normen verzögert, die in den letzten Jahren veröffentlicht wurden.

In dieser Präsentation befassen wir uns mit pragmatischen Möglichkeiten zur Verknüpfung von Cybersecurity Analysen mit den in ISO 14971 definierten Risikomanagement Aktivitäten. Darüber hinaus beleuchten wir das Thema Bedrohungs- und Schwachstellen-Analysen und wie diese Teil des komplexen Spektrums an Risikomanagementtechniken sein können, die im Medizinproduktesektor erforderlich sind. Weiteres werden wir uns mit der Definition von Restrisikostufen für die Cybersecurity beschäftigen. Letztendlich kommt es auf die Vermögenswerte an und darauf, wie groß das Risiko für ein bestimmtes Unternehmen und Produkt ist. Und auch die Vielfalt der Medizinprodukte und ihrer Schwachstellen machen es schwierig, einen einheitlichen Ansatz für alle zu finden.

Im Rahmen dieser Sesssio bekommen Sie einen Überblick über vorhandene Leitfäden und Dokumente, sowie über die Geschichte und den Ablauf der verwendeten Techniken – vor allem natürlich in Hinblick auf Cybersecurity von Medizinprodukten.

Ein weiteres Thema und eine der größten Herausforderungen, die noch in den Kinderschuhen steckt, ist der Ansatz zur Überwachung der Cybersecurity nach der Markteinführung und die Frage, wie schnell Unternehmen auf Schwachstellen reagieren können. Zu guter Letzt befassen wir uns mit Strategien, insbesondere für kleine Unternehmen, wie Cybersecurity Themen nach der Markteinführung umgesetzt werden können.

Referent: Alastair Walker, Owner Lorit Consultancy GmbH

Alastair hat über 25 Jahre Erfahrung in der Entwicklung sicherheitsrelevanter Produkte für die Medizintechnik, den Fahrzeugbau und die Raum- und Luftfahrtindustrie.

Neben der Entwicklung von Medizingeräten konnte er auch Entwicklern beratend zur Seite stehen und blickt auf umfangreiche Kenntnisse in der Implementierung sicherer, programmierbarer elektrischer Medizinsystem-Architekturen (PEMS-Architekturen) nach 60601 und Software der Klasse C 62304 zurück. Darüber hinaus verfügt Alastair über umfassende Erfahrungen in der Entwicklung von Systemen, Hardware und Embedded Software.

Alastair hat jahrelange Erfahrungen mit Risikoanalyse-Techniken wie der Fault Tree Analysis (FTA), der Failure Mode Effects and Diagnostic Coverage Analysis (FMEDA) und Hazard and operability study (HAZOP bzw. PAAG). Zusätzlich verfügt er über technisches Fachwissen aus verschiedenen Industriezweigen, um bewährte Praktiken in bestimmten Bereichen einführen zu können.

Alastair ist ein erfahrener Trainer für Automotive und Medizintechnik Standards bzw. spezifische Industrieanforderungen.

Er ist TÜV Rheinland Functional Safety Engineer, Prüfer für Automotive SPICE®

Ego-Shooter Doom auf einem Herzschrittmacher? Cybersichere Medizinprodukte und cybersichere Organisation  (ISO 27001)!

Was würden Sie empfinden, wenn Sie eines Morgens die Zeitung aufschlagen und Ihr Medizinprodukt als die neueste Gaming-Plattform angepriesen wird? So ähnlich ging es wohl dem Hersteller eines Programmiergeräts für Herzschrittmacher, als er erfuhr, dass findige Hacker darauf das Ego-Shooter-Spiel Doom installieren konnten und auch die Tür für weitaus Schlimmeres offen stand.

Das Risikomanagement im Rahmen der Cyber Security ist ein wichtiger Teil des allgemeinen Risikomanagementprozesses für Medizinprodukte. Cyber Security wird nicht implementiert und gelebt, weil es eine Norm vorschreibt, sondern vor allem, um Risiken für Patientinnen und Patienten zu minimieren. Die notwendigen Abläufe betreffen die Unternehmensorganisation, die Verfügbarkeit und Integrität des Medizinprodukts und den Schutz der gespeicherten und verarbeiteten Patientendaten.

Wolfgang Merz stellt die Möglichkeit der Integration eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 in ein bestehendes Qualitätsmanagementsystems (ISO 9001) vor, um die organisatorische Basis sicher zu stellen.

Dr. Martin Neumann erörtert die wichtigsten Normen zur Cyber Security für den gesamten Entwicklungsprozess von Medizinprodukten.
Der Vortrag fokussiert auf die aktive und nachhaltige Etablierung von Cyber Security in einem Unternehmen und während des gesamten Lebenszyklus eines Medizinprodukts – wie es die MDR fordert. So können Sie sowie Ihre Patientinnen und Patienten sich sicher fühlen und die morgendliche Zeitungslektüre wird nicht zum Albtraum.

Referenten: Dr. Martin Neumann, infoteam Software AG und Wolfgang Merz, P&QMB

Dr. Martin Neumann ist bei der infoteam Software AG Consultant im Bereich Life Science. Hier berät und unterstützt er zu Fragen regulatorischer Anforderungen aus der EU-MDR/EU-IVDR, zur normenkonformen Entwicklung von medizinischer Software sowie zu Risikomanagement und Cyber Security.

Wolfgang Merz ist Geschäftsführer der Project & Quality Management Backbone (P&QMB) und zu Themen im Umfeld Qualitätsmanagement / Informationssicherheit, ISO 9001 sowie insbesondere der ISO 27001 seit vielen Jahren kompetent unterwegs.

Herausforderungen und mögliche Lösungen bei der Einführung von „Cybersecurity“ im Med. Produkte Unternehmen. Ein Erfahrungsbericht.

Als der Referent vor mehr als 5 Jahren zusammen mit einem kleinen Team begann, sich eine Vorstellung darüber zu erarbeiten, wie das Thema Cybersecurity für Medizinprodukte in einem internationalen Konzern systematisiert und vereinheitlicht werden kann, gab es kaum Papiere zu dem Thema, die nur in etwa ein „Stand der Technik“ repräsentiert hätten. Dafür gab und gibt es weit über 100 Veröffentlichungen und Standards aus dem allgemeinen Umfeld der Cybersecurity für Informationstechnologien. Wie aber gehe ich das Thema „Security by Design“ bei der Entwicklung eines neuen Medizinproduktes an? Was hat Datenschutz („Data Privacy“) damit zu tun? Wie Cyber-Risiken mit „Health Risk Management“ koordinieren? Wie organisiere ich eine wirksame Beobachtung neu aufgekommener Bedrohungen und Vulnerabilitäten? Wie sehen Routinen aus, wenn Medizinprodukte von einer Cyber-Attacke betroffen sind?  Und vor allem, wie integriere ich all dies in bereits existierende Prozesse bzw. das QM-System und wie muss die Organisation gestaltet sein, so dass die etablierten Lösungen auch wirksam und nachhaltig sind?

Der Referent möchte die mit diesen Herausforderungen und deren Lösung gemachten Erfahrungen aus seiner persönlichen Sicht skizzieren und würde sich freuen, wenn er die ein oder andere Anregung mit auf den Weg geben könnte.

Referent: Gerd Dautel

Gerd Dautel ist Diplom-Informatiker der Medizin und verbrachte mehr als 35 Jahre seines Berufslebens in der Medizinprodukte Industrie. Als junger SW-Ingenieur entdeckte er sein Interesse für die Methodiken des Software und Systems-Engineering sowie des Risikomanagements komplexer Medizinischer Systeme. Vor 25 Jahre begann dann seine Karriere beim Medizinproduktehersteller Stryker wo er in verschiedenen Produktbereichen (u.a. chirurgische Navigationssysteme, Radiotherapie-Planung, OP-Roboter, Chirurgie-Instrumente, Implantate) Führungsverantwortung in den Bereichen Qualitätsmanagement, Regulatory Affairs und Compliance  hatte. Er war auch Mitglied des internationalen Stryker „RAQA Heads Teams“ und führte Projekte, um verschiedene Themen im Konzern zu systematisieren und zu vereinheitlichen, wie z.B.: das Risiko Management (nach ISO 14971), Entwicklungslenkung, Korrektur- und Vorbeugemaßnahmen, Geschäftsprozessmodellierung, Systems-Engineering, Testmanagement und Cybersecurity. Er ist fest davon überzeugt, dass die effektive und effiziente Integration von „state-of-the-art“ Methoden in bestehende Prozesse entscheidend dabei hilft, sichere und effektive Medizinprodukte zu entwickeln und zu betreiben, wobei dies nur im Zusammenwirken der betroffenen Organisationseinheiten möglich ist.

Security von Software durch Codierrichtlinien

Zwei Standards/Richtlinien zielen darauf ab, Software speziell „secure“ zu machen: ISO/IEC TS 17961 („C secure“) und der SEI CERT C Coding Standard der Carnegie-Mellon-Universität. Die Vorgaben von beiden Standards beziehen sich auf die Programmiersprache C und sind natürlich auch für Medizintechnik-Software anwendbar, sofern sie in C geschrieben ist. Beide Standards werden vorgestellt und auch kurz die Nummerierungssysteme Common Vulnerabilities and Exposures (CVE) und Common Weakness Enumeration (CWE). Die Gegenüberstellung der beiden Standards für Security mit den mit Safety assoziierten Vorgaben aus MISRA zeigt, dass es nur geringe Unterschiede zwischen Safety und Security gibt. Abschließend wird anhand einiger Beispiele (Pufferüberlauf, verschmutzte Daten, festes Passwort) diskutiert, welche Security-Schwachstellen durch statische Analyse-Werkzeuge gefunden werden können (und welche eher nicht) und ob es sich bei den Schwachstellen mehr um ein Security- oder um ein Safety-Problem handelt.

Referent: Frank Büchner, Principal Engineer Software Quality Hitex GmbH

Frank Büchner hat ein Diplom in Informatik von der Technischen Hochschule Karlsruhe (heute KIT). Seit vielen Jahren widmet er sich dem Thema Testen und Software-Qualität. Momentan arbeitet er als „Principal Engineer Software Quality“ bei der Fa. Hitex GmbH in Karlsruhe.

Motivation und genereller Ablauf eines Hackerangriffs – Vorbereitung auf die anschließende Live-Hacking-Session

In Vorbereitung auf die Live-Hacking-Session wird Ihnen die Motivation und den generellen Ablauf eines Hackerangriffs nahegebracht. In den meisten Fällen ist es den jeweiligen Unternehmen vor einem Angriff nicht bekannt, wie „interessant“ sie für einen Angreifer sind. Oft hören Cybersecurity-Experten Sätze wie: „Wieso sollte uns jemand angreifen?“ oder „Wir sind doch viel zu klein, um für einen Angreifer interessant zu sein!“.  Diese falschen Annahmen sollen mit diesem Vortrag widerlegt werden.

Speziell bei der Absicherung von embedded -oft auch OT genannten- Systemen ergeben sich viele Herausforderungen durch die im Vergleich zur IT höhere Exposition und die per se geringeren Ressourcen.

Referent: Lukas Fey, embeX GmbH

Lukas Fey ist Leiter des Fachbereichs für Cybersecurity bei dem Entwicklungsdienstleister embeX GmbH in Freiburg. Er blickt auf mehr als 15 Jahre Berufserfahrung in der IT- und OT-Security zurück. Zu seinen Qualifikationen zählt auch die des „Certified Ethical Hackers“.

Felix Wabra ist aus Passion IT-Sicherheitsberater. Er ist ehemaliger Wirtschaftsstudent, mit umfangreicher Erfahrung im Bereich Datenschutz und IT-Sicherheit und Leidenschaft für Computer und deren Bedrohungen. Tätigkeiten in den Bereichen Datenschutz, Pentesting und Sensibilisierungen für verschiedene IT-Unternehmen, selbständiges Erarbeiten sicherheitsrelevanter Themen sowie ständige Weiterbildung und Erfahrung im Umgang mit IT-Bedrohungen garantieren bei ihm realistische und fundierte Schulung der Kunden.

Herr Wabra berät Firmen und Behörden in sicherheitsrelevanten Themen und führt Live Hackings während Schulungen und Trainingsevents durch. Er bringt umfassendes Wissen aus dem IT-Umfeld mit und hat durch die Bekämpfung von Bedrohungen einen detaillierten Einblick in die Sicht- und Vorgehensweise von Cyberkriminellen. Motto: „Sicherheit ist eben doch mehr, als nur ein paar Einstellungen, hier geht es um das Zusammenspiel von Technik, Wissen und Mitarbeitern“.

In seiner letzten Tätigkeit als IT-Sicherheitsberater war er für die Konzeption und Durchführung von Live Hackings verantwortlich. Während seines Studiums arbeitete er unter anderem für ein Datenschutz Unternehmen und half bei der Überprüfung von Industrieunternehmen, sowie KRITIS Betreibern.