IT-Sicherheitsgesetz 2.0: Was ändert sich für KRITIS-Einrichtungen?

Mit dem zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 bzw. IT-SiG 2.0) möchte die deutsche Bundesregierung die Sicherheitsstandards kritischer Infrastrukturen weiter verbessern. Doch was genau steckt in dem neuen Gesetz? Wir erklären, welche Neuerungen und Änderungen das IT-Sicherheitsgesetz 2.0 für KRITIS-Einrichtungen, Unternehmen im besonderen öffentlichen Interesse (UBI) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit sich bringt.

Unser Überblick wird laufend aktualisiert und fasst die neuesten Informationen zusammen. Achtung: Obwohl das IT-Sicherheitsgesetz 2.0 aktuell gültig ist, müssen einige Aspekte des Gesetzes noch durch eine Rechtsverordnung konkretisiert werden, die 2023 erwartet wird. Sobald Details bekannt sind, ergänzen wir unseren Beitrag umgehend.

IT-Sicherheitsgesetz 2.0 – Alle Details

Während digitale Systeme sich rasant weiterentwickeln, ist Gesetzgebung eher für ihr träges Tempo bekannt. Um mit der stetig wachsenden Bedrohung durch Hacker und Cyberattacken mitzuhalten, hat die deutsche Bundesregierung das 2015 erlassene IT-Sicherheitsgesetz nun durch eine neue Version angepasst. Das IT-Sicherheitsgesetz 2.0 erweitert unter anderem die Kompetenzen des BSI, den Geltungsbereich der KRITIS-Verordnung und die Pflichten für KRITIS-Betreiber.

Einige Details des neuen Gesetzes müssen jedoch noch durch Verordnungen näher bestimmt werden, etwa welche Firmen aufgrund ihrer zentralen Bedeutung für die deutsche Wirtschaft in die neue Kategorie der “Unternehmen im öffentlichen Interesse” fallen. Ebenso ist zur Zeit noch kein Schwellenwert für den neuen KRITIS-Sektor der Siedlungsabfallentsorgung definiert.

Was genau ist das IT-Sicherheitsgesetz 2.0?

Bei dem zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) handelt es sich um ein Artikelgesetz, was bedeutet, dass darin Änderungen an verschiedenen anderen Gesetzen zusammengefasst sind.

Der Großteil dieser Anpassungen betrifft das BSI-Gesetz (BSIG), das die Kompetenzen und Aufgaben des Bundesministeriums für Sicherheit in der Informationstechnik definiert. Weitere Änderungen betreffen unter anderem das Energiewirtschaftsgesetz, Telemedien- und Telekommunikationsgesetz und Bundeskriminalgesetz.

Was sind kritische Infrastrukturen?

Durch das erste IT-Sicherheitsgesetz sowie die nachfolgende KRITIS-Verordnung wurden Sektoren von Wirtschaft und Verwaltung definiert, die nach Ansicht der Bundesregierung besonders starken Schutz vor Ransomware und Cyberangriffen brauchen.

Laut Definition des BSI sind kritische Infrastrukturen “Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen”. Ein Ausfall oder eine Störung in einer solchen Einrichtung würde gravierende Folgen bedeuten. Im Rahmen des IT-Sicherheitsgesetzes zählen insgesamt acht Sektoren zu den kritischen Infrastrukturen:

  • Wasser
  • Energie
  • Ernährung
  • Gesundheit
  • Transport und Verkehr
  • Finanz- und Versicherungswesen
  • Internet und Telekommunikation
  • Siedlungsabfallentsorgung (neu durch IT-SiG 2.0)

Welche Pflichten gelten für KRITIS-Betreiber?

Die bisher gültigen Pflichten für KRITIS-Betreiber umfassen Kontakt mit dem BSI, das Melden von IT-Störungen und -Beeinträchtigungen, sowie die Umsetzung von IT-Sicherheit nach aktuellem Stand der Technik. Ein Nachweis im Abstand von zwei Jahren dient dabei als Bestätigung. Dieser Nachweis kann zum Beispiel durch die Zertifizierung einer international anerkannten Norm wie ISO 27001 erfolgen. Allerdings ist dabei auf mögliche zusätzliche Pflichten, die durch das Sicherheitsgesetz entstehen, zu achten.

Ebenso besteht für Branchenverbände die Möglichkeit, eigene Sicherheitsstandards zu definieren und diese beim BSI zur Zertifizierung einzureichen. Bei Erfolg sind diese branchenspezifischen Sicherheitsstandards (B3S) für zwei Jahre gültig und müssen anschließend erneut zertifiziert werden. Unser Beitrag zum Thema liefert etwa detaillierte Informationen zur Umsetzung des B3S-Standards für Krankenhäuser.

Durch das IT-Sicherheitsgesetz 2.0 ergeben sich nun neue Pflichten für betroffene Einrichtungen. Zum einen wird der Einsatz von Systemen zur Angriffserkennung (Security Incident & Event Management bzw. SIEM) zur Vorschrift. Zum anderen müssen KRITIS-Betriebe künftig sogenannte kritische Komponenten beim BSI registrieren. Das Innenministerium kann somit den Einsatz bestimmter Software- und Hardware-Produkte wegen Sicherheitsbedenken untersagen.

Whitepaper

Identity und Access Management in der BSI-Kritisverordnung

Finden Sie heraus, wie tenfold KRITIS-Betreibern die Umsetzung der BSI-Kritisverordnung erleichtern kann.

Kritik am IT-Sicherheitsgesetz 2.0

Darin, dass die Cybersicherheit von Unternehmen und öffentlichen Einrichtungen in Deutschland verbessert werden muss, um Angriffe und schwerwiegende Ausfälle zu verhindern, sind sich sowohl politische Parteien als auch Branchenvertreter und Sicherheitsexperten einig. Geht es hingegen um die Frage, wie genau verbesserte Sicherheitsstandards umgesetzt werden sollten und wie stark staatliche Behörden dabei in die Privatwirtschaft eingreifen dürfen, scheiden sich die Geister.

Rund um das IT-Sicherheitsgesetz 2.0 gab es schon seit den ersten Entwürfen, die im Dezember 2020 bekannt wurden, heftige Kritik: Aufgrund extrem kurzer Fristen für Kommentare sahen sich Experten und Fachverbände faktisch ausgeschlossen, was die inhaltliche Gestaltung des Sicherheitsgesetzes angeht. Die finale Version des Gesetzes sorgt neben der Ausweitung auf zusätzliche Wirtschaftszweige vor allem durch neue, weitreichende Kompetenzen für das BSI für Unmut.

Das Ministerium darf künftig etwa Portscans einsetzen, um Schwachstellen in kritischen Infrastrukturen zu finden, und ist berechtigt diese geheim zu halten. Für Kritiker widerspricht das mögliche Verschweigen von Sicherheitslücken dem eigentlichen Zweck des BSI, nämlich die Sicherheit von Computersystemen zu verbessern. Da das BSI dem Innenministerium unterstellt ist, befürchten Kritiker weiters, dass gefundene Sicherheitslücken von Polizei und Geheimdiensten genutzt werden könnten, anstelle die Öffentlichkeit über diese zu informieren und sie zu schließen.

Wann tritt das IT-Sicherheitsgesetz 2.0 in Kraft?

Die deutsche Bundesregierung hat im Dezember 2020 einen ersten Entwurf für eine Anpassung des IT-Sicherheitsgesetzes vorgelegt. Das neue Sicherheitsgesetz wurde vom Bundestag am 23. April 2021 beschlossen und vom Bundesrat am 7. Mai 2021 gebilligt. Das IT-Sicherheitsgesetz 2.0 ist am 28. Mai 2021 offiziell in Kraft getreten, nachdem es am Tag zuvor im Bundesgesetzblatt veröffentlicht worden ist (Link zum PDF).

Das Inkrafttreten des IT-Sicherheitsgesetzes ist jedoch nur der erste Schritt. Zur Anpassung der KRITIS-Schwellenwerte und -Anlagen beschloss die Regierung am 6. September 2021 die Zweite Verordnung zur Änderung der BSI-KRITIS-Verordnung. Die Rechtsverordnung ist allgemein als KRITIS 2.0 bekannt, da aktuell jedoch noch einige Schwellenwerte fehlen, sprechen manche auch von KRITIS 1.5. Eine finale Verordnung, die Grenzwerte für Unternehmen im öffentlichen Interesse und den Sektor Abfallentsorgung festlegt, wird für 2023 erwartet.

Wer ist vom IT-Sicherheitsgesetz 2.0 betroffen?

Durch die Anpassung des Sicherheitsgesetzes ergeben sich für Betriebe, die schon jetzt zu den kritischen Infrastrukturen zählen, zusätzliche Pflichten, allen voran der Einsatz von Systemen zur Angriffserkennung. Obwohl der Gesetzgeber keine konkrete Softwarekategorie nennt, dürfte sich diese Anforderung auf automatisiertes Security Incident & Event Management (SIEM) bzw. die Auswertung durch ein dediziertes Sicherheitsteam beziehen.

Gleichzeitig wird die KRITIS-Verordnung ausgeweitet: Neben einer zusätzlichen KRITIS-Kategorie, dem Sektor Siedlungsabfallentsorgung, werden auch einige Schwellenwerte der bestehenden Sektoren angepasst, etwa in den Bereichen Stromerzeugung, Transport und Informationstechnologie.

Schätzungen zufolge fallen durch diese Änderungen der Schwellenwerte etwa 270 zusätzliche Betriebe unter die KRITIS-Verordnung, im Vergleich zu bisher insgesamt 1.600 Organisationen, die zu den kritischen Infrastrukturen gerechnet wurden. Details zur Änderung der KRITIS-Anlagen.

Hinzu kommt ebenso die neue Kategorie der “Unternehmen im besonderen öffentlichen Interesse”. Für Betriebe in diesem Segment gelten, sofern sie nicht bereits zu den kritischen Infrastrukturen zählen, eigene Richtlinien, die etwas weniger streng als jene der KRITIS-Verordnung sind. Betroffene Unternehmen müssen sich beim BSI identifizieren, regelmäßig Erklärungen über ihre IT-Sicherheit abgeben und Vorfälle an das BSI melden. Zu den Unternehmen im besonderen öffentlichen Interesse zählen:

  • Rüstungsunternehmen und Hersteller von Produkten für staatliche Verschlusssachen
  • Unternehmen und ihre Zulieferer, die von erheblicher Bedeutung für die deutsche Wirtschaft sind
  • Unternehmen die Gefahrstoffe verarbeiten und daher der Störfall-Verordnung unterliegen
Arzt greift über einen Computer auf Patienten-Daten zu.
Wichtige Einrichtungen wie Krankenhäuser sollen durch das IT-SiG 2.0 zusätzlich geschützt werden. Adobe Stock, (c) Rostislav Sedlacek

Neuerungen im IT-Sicherheitsgesetz 2.0

Die Anpassung des IT-Sicherheitsgesetzes bringt sowohl neue als auch überarbeitete Maßnahmen mit sich. Unser Überblick verrät, welche Änderungen im IT-Sicherheitsgesetz 2.0 konkret enthalten sind und worauf sich betroffene Unternehmer in den kommenden Jahren einstellen müssen.

Zusätzliche Kompetenzen für das BSI

Durch die Gesetzesänderung wird das Bundesministerium für Sicherheit in der Informationstechnik mit knapp 800 zusätzlichen Stellen ausgestattet und mit einigen neuen Aufgaben betraut. Das BSI wird etwa zur zentralen Meldestelle für Schwachstellen und darf künftig nicht nur Portscans und aktive Honeypots zur Nachforschung einsetzen, sondern auch Auskünfte von den Herstellern von IT-Produkten verlangen.

Netzbetreibern mit mehr als 100.000 Kunden kann das BSI bei Bedarf Anordnungen zur Störungsbeseitigung erteilen. Möglich wäre etwa eine Einschränkung des Betriebs, Anweisungen zur Bereinigung betroffener Systeme oder auch das Weiterleiten von Datenverkehr an eine vom BSI vorgegebene Adresse. Ebenso wird das BSI dazu berechtigt, verbindliche Sicherheitsstandards für die IT der Bundesbehörden festzulegen und die betroffenen Systeme zu kontrollieren. Davon ausgenommen sind das Auswärtige Amt und die Bundeswehr.

Auch der Bereich Verbraucherschutz wird ausgebaut: Das Ministerium soll Verbraucher künftig im öffentlichen Interesse in Sicherheitsfragen warnen und beraten. Dazu wird ein freiwilliges IT-Sicherheitskennzeichen eingeführt, mit dem Hersteller nachweisen können, dass Sie Vorgaben des BSI erfüllen. Die Antragstellung ist aktuell bereits für zwei Produktkategorien möglich: Breitbandrouter und E-Mail-Dienste.

Zuletzt macht die Gesetzesänderung das BSI auch zur nationalen Behörde für Cybersicherheitszertifizierung, womit Deutschland eine der Vorgaben des Cybersecurity Act der Europäischen Union erfüllt. Das Ministerium ist somit für die Durchsetzung und Zertifizierung europäischer Standards verantwortlich.

Einsatz von Systemen zur Angriffserkennung

Die Vorgabe von Sicherheitsmaßnahmen nach Stand der Technik wird durch das neue Gesetz explizit um Angriffserkennung (Security Incident & Event Management) erweitert. Dabei handelt es sich um Software, die durch die Überwachung der Netzwerk- und System-Aktivität Angriffe und Schadsoftware erkennen soll.

Für KRITIS-Einrichtungen ergibt sich durch diese Verpflichtung zusätzlicher Aufwand: Um SIEM-Lösungen effektiv einzusetzen, müssen diese durch einen qualifizierten Administrator gewartet und überwacht werden. Nur so können Betriebe Fehlalarme ausschließen, im schlimmsten Fall angemessen reagieren und einen Störfall zeitnah an das BSI melden.

UPDATE: Zur Unterstützung von betroffenen Betrieben hat das BSI eine Orientierungshilfe für den Einsatz von Systemen zur Angriffserkennung veröffentlicht.

Erweiterung der KRITIS-Sektoren

Zu den bisher definierten Sektoren der KRITIS-Verordnung wie Energie, Wasser, Gesundheit und Transport kommt durch die Gesetzesänderung die neue Kategorie Siedlungsabfallentsorgung hinzu. Für diesen Bereich fehlen aktuell jedoch noch Schwellenwerte, die bestimmen, ab welcher Größe Betriebe zur kritischen Infrastruktur zählen.

Die Anpassung der Schwellenwerte in den Bereichen IT, Energie, Transport und Finanzen sorgt zudem dafür, dass weitere Einrichtungen künftig unter die Verordnung fallen. Die Zahl an KRITIS-Einrichtungen steigt so auf insgesamt rund 1.870 Betreiber an.

Unternehmen im besonderen öffentlichen Interesse

Neben der Erweiterung der KRITIS-Sektoren schafft das Gesetz die neue Kategorie der Unternehmen im besonderen öffentlichen Interesse, für die im Vergleich zu kritischen Infrastrukturen etwas weniger strenge Auflagen gelten. Zu dieser Gruppe gehören:

  • Rüstungsunternehmen und Hersteller von Produkten für staatliche Verschlusssachen (im Sinne von § 60 Absatz 1 Nr. 1-5 der Außenwirtschaftsordnung).
  • Unternehmen, die aufgrund ihrer hohen inländischen Wertschöpfung von erheblicher Bedeutung für die Wirtschaft in Deutschland sind (inklusive ihrer Zulieferer).
  • Unternehmen, die Gefahrstoffe verarbeiten und daher in die obere Klasse der Störfall-Verordnung fallen.
Außenansicht einer Fabrik eines wichtigen deutschen Konzerns.
Betriebe, die gefährliche Stoffe verarbeiten, fallen in eine neue Kategorie. Adobe Stock, (c) Shinonome Production

Kennzahlen und Schwellenwerte, um Unternehmen mit hoher volkswirtschaftlicher Bedeutung genau zu bestimmen, müssen noch durch eine Rechtsverordnung festgelegt werden. Sämtliche betroffenen Firmen sind jedenfalls verpflichtet, sich binnen zwei Jahren beim BSI zu registrieren, schwere Störungen an das BSI zu melden und zudem alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit abzugeben.

In der Selbsterklärung zur IT-Sicherheit müssen Firmen festhalten, welche Sicherheitsmaßnahmen sie aktuell umsetzen und welche Zertifizierungen bzw. Audits in diesen zwei Jahren durchgeführt wurden. Im Unterschied zu kritischen Infrastrukturen sind Unternehmen im besonderen öffentlichen Interesse jedoch nicht zur Einhaltung konkreter Sicherheitsstandards verpflichtet und müssen auch keine Kontaktstelle zum BSI einrichten.

Einsatz von kritischen Komponenten

Um Supply-Chain-Attacken sowie Spionage und Sabotage auszuschließen, kann das Bundesministerium für Inneres künftig den Einsatz von kritischen Komponenten untersagen, falls sich deren Hersteller als nicht vertrauenswürdig erweist. Jedenfalls müssen Betreiber künftig den geplanten Einbau bzw. Einsatz von kritischen Komponenten an das BMI melden und eine Garantie-Erklärung des Herstellers beilegen, die bestätigt, dass die Komponente nicht missbräuchlich eingesetzt werden kann.

Die Mindestanforderungen an eine Garantieerklärung sind bislang nur für die Branche Telekommunikation bekannt, dürften sich aber für die übrigen Sektoren analog gestalten.

Auch die nachträgliche Untersagung des Einsatzes von Komponenten ist möglich, wenn Verstöße oder Sicherheitslücken bei einem Hersteller festgestellt werden. Details zu dem Überprüfungsverfahren sind jedoch noch unklar. Entsprechend groß ist aktuell die Unsicherheit bezüglich des Einsatzes von Produkten, die von ausländischen Herstellern gefertigt werden.

Was genau sind kritische Komponenten?

Laut offizieller Definition sind kritische Komponenten IT-Produkte (Hardware und Software), die in kritischen Infrastrukturen eingesetzt werden und deren Ausfall zu einer “erheblichen Beeinträchtigung der Funktionsfähigkeit […] oder zu Gefährdungen für die öffentliche Sicherheit” führen kann. Da diese Definition recht vage gefasst ist, definiert das Gesetz kritische Komponenten alternativ über das Erfüllen von kritischen Funktionen.

Eine Liste kritischer Funktionen muss je nach Anwendungsbereich durch eigene Gesetzesänderungen festgelegt werden. Bis jetzt ist dies aber nur im Telekommunikationsgesetz geschehen. Hintergrund dieser Anpassung im Dezember 2020 ist der Ausbau des 5G-Netzes in Deutschland. Hier gab es im Vorfeld Bedenken rund um die mögliche Verwendung von Antennen des chinesischen Herstellers Huawei. Einige Stimmen halten diesen Abschnitt des Sicherheitsgesetzes daher für Anlassgesetzgebung. Zudem wird die Effektivität und Verhältnismäßigkeit der neuen BMI-Befugnis in Frage gestellt.

Anpassung von Geldbußen

Der bisherige Strafrahmen für Verstöße gegen die KRITIS-Verordnung sah Bußgelder von bis zu € 100.000 vor. Diese Obergrenze wird durch das neue Gesetz auf bis zu 2 Millionen Euro erhöht (bzw. vier Prozent des weltweiten Jahresumsatzes aus dem vergangen Jahr). Für einige Tatbestände sind sogar Strafen von bis zu 20 Millionen Euro möglich. Die Aufstockung orientiert sich hier am Strafrahmen der DSGVO.

Symbolbild für einfache Benutzerverwaltung, Hand die Zugriff auf kritische Informationen steuert.
Benutzerkonten und Zugriffsrechte sind ein wesentlicher Teil der Informationssicherheit. Adobe Stock, (c) jirsak

IT-Sicherheit und Compliance: Identity Access Management mit tenfold

Mit dem IT-Sicherheitsgesetz 2.0 schreitet die Regulierung des Themas Cyber-Security weiter voran. Angesichts der stetig wachsenden Bedrohung durch Schadsoftware und immer neuer Hackerangriffe auf essentielle Infrastruktur wie die Colonial Pipeline, dürfte das Interesse der öffentlichen Hand an der Absicherung von Computersystemen auch in Zukunft nicht nachlassen. Im Gegenteil: Um Vorschriften auf dem neuesten Stand zu halten, sind noch einige Gesetzesänderungen und Rechtsverordnungen zu erwarten.

Auch für Betriebe, die aktuell noch nicht unter die KRITIS-Regelung fallen, lohnt sich daher die vorausschauende Auseinandersetzung mit empfohlenen Sicherheitsstandards. Wer Grundlagen der Cybersicherheit erfolgreich abdeckt, schützt seine Organisation nicht nur vor Cyber-Attacken und Datenlecks, sondern ist auch gut vorbereitet, falls die Definition der betroffenen Sektoren erneut angepasst wird. So bleibt mehr Zeit für das Erreichen spezifischer Anforderungen wie dem Einrichten von Kontaktstellen.

Die IAM-Lösung tenfold dient als zentrale Plattform für die Verwaltung von Benutzern und Zugriffsrechten und hilft Unternehmen dabei, den Zugriff auf IT-Ressourcen und sensible Daten nicht nur sicher, sondern auch compliance-gerecht zu steuern. Identity und Access Management zählt zu den elementaren Bausteinen der IT-Sicherheit und ist neben dem BSI-IT-Grundschutz und der Norm ISO 27001 auch Teil des empfohlenen Vorgehens für B3S-Standards. Automatisierte Software für Identitäts- und Rechtemanagement wie tenfold erleichtert dabei die Umsetzung eines Berechtigungskonzepts und schützt vor Bedrohungen wie:

  • Missbrauch gestohlener Zugangsdaten (Phishing, Skimming, Credential Stuffing)
  • Datendiebstahl und Insider Threats
  • Datenpannen und -Lecks
  • Fehlhandlungen durch Mitarbeiter

In unserem Artikel zum Thema finden Sie nähere Informationen zur Rolle von IAM in der BSI-Kritisverordnung und den spezifischen Sicherheitsanforderungen, die tenfold dabei abdeckt.

Sichere und effiziente Verwaltung mit tenfold

tenfold bringt Ordnung in das Chaos organisch gewachsener Berechtigungen und hilft Organisationen so dabei, ihre IT zu entlasten und überflüssige Berechtigungen samt der daraus resultierenden Sicherheitslücken zu eliminieren. Im Kern der IAM-Lösung steht die rollenbasierte Berechtigungsvergabe: tenfold analysiert bei seiner Installation existierende Zugriffsrechte und leitet daraus automatisch Standard-Sets an Zugriffsrechten ab.

Werden Benutzer nun zu diesen Rollen hinzugefügt oder daraus entfernt (etwa weil sie die Abteilung wechseln), sorgt tenfold für die automatische Anpassung der Rechte in sämtlichen verknüpften Systemen: dem lokalen Fileserver und Active Directory, in Microsoft 365 und Azure AD, sowie zahlreichen Drittanwendungen, die sich über vorgefertigte Plugins verbinden lassen.

Über ein umfangreiches Self-Service-Feature können Benutzer bei Bedarf zusätzliche Rechte anfordern. Indem Data Owner für bestimmte Ressourcen ernannt werden, erfolgt die Entscheidung über die Freigabe dabei innerhalb des betroffenen Fachbereichs, ohne Umwege über Support-Tickets. Um sicherzugehen, dass der Zugriff auch in diesem Fall zeitgerecht wieder entfernt wird, müssen Data Owner im Rahmen der Rezertifizierung von Berechtigungen regelmäßig bestätigen, ob von ihnen vergebene Rechte noch aktuell sind.

Dabei dokumentiert tenfold sämtliche Prozesse und Änderungen an Zugriffsrechten automatisch und generiert auf Wunsch übersichtliche Reports zu den aktuellen und historischen Rechten von Benutzern. So lässt sich jederzeit nachvollziehen, welche Mitarbeiter Zugang zu sensiblen Daten hatten und haben. So können Unternehmen im Rahmen von Compliance-Audits nachweisen, dass ihre Daten bestmöglich geschützt sind.

Whitepaper

Identity und Access Management Software: Produkte im Vergleich

Finden Sie heraus, welche Kategorien von IAM Software am Markt erhältlich sind und welches Produkt optimal auf Ihre Bedürfnisse abgestimmt ist.

Verfasst von: Joe Köller

Joe Köller ist Content Manager bei tenfold und beschäftigt sich auf diesem Blog mit Themen wie Compliance, IT-Sicherheit und Access Management. Außerdem zählen digitale Medien, amerikanische Literatur und das Gärtnern zu seinen Leidenschaften.