Monat der Cybersicherheit 24: Interview mit John Madelin, einem der weltweit anerkanntesten Experten für Cybersicherheit (Teil zwei)

Die amerikanische gemeinnützige Stiftung National Cybersecurity Alliance (NCA) fördert das Bewusstsein für Cybersicherheit. Zu ihren Kernaktivitäten gehört der „Cybersecurity Awareness Month“ im Oktober. John Madelin verfügt über mehr als 25 Jahre Erfahrung in der Konzeption, dem Aufbau und der Verwaltung von Cybersicherheit. Er hat Sicherheitsteams geleitet, die weltweit Sicherheitsrisiken identifizieren, analysieren und gemindert haben.

Dies ist der zweite Teil des Interviews mit John Madelin, der nach sechs Jahren bei Cognizant nun als Berater für die britische Regierung tätig ist.

Sie sind gerade von einer Regierungs- und Wissenschaftskonferenz in Portugal zum Thema Cyber-Bildung zurückgekehrt. Das scheint eine neue Leidenschaft von Ihnen zu sein. Worum ging es dabei?

Wir haben kürzlich im Rahmen unserer CSE Connect-Initiative an einer Cyber-Bildungskonferenz in Porto teilgenommen, mit zwei Hauptzielen. Erstens, um uns mit unseren akademischen Kollegen aus den USA zu treffen, die an ähnlichen Herausforderungen arbeiten, und zweitens, um Bildungsansätze in Ingenieurdisziplinen wie Verbundwerkstoffwissenschaften und Klebstofftechnologie zu erforschen, die neue Erkenntnisse für den Bereich der Cybersicherheit bieten könnten. Beide Ziele sind Teil unserer laufenden Bemühungen, Bildungsstandards zwischen dem Vereinigten Königreich, den USA und anderen globalen Partnern, insbesondere unter den Five Eyes-Ländern, anzugleichen und bewährte Verfahren aus anderen technischen Disziplinen einzubringen.

Eines der wertvollsten Ergebnisse der Konferenz war die Möglichkeit, zu vergleichen und gegenüberzustellen, wie komplexe technische Themen in anderen Bereichen unterrichtet werden und wie diese pädagogischen Ansätze auf die Cybersicherheitsausbildung übertragen werden könnten. So wie beispielsweise Ingenieure, die mit fortschrittlichen Materialien arbeiten, theoretisches Wissen und praktische Anwendungen miteinander verbinden müssen, muss sich auch die Cyber-Ausbildung weiterentwickeln, um tiefgreifendes technisches Fachwissen mit Fähigkeiten zur Problemlösung in der realen Welt zu verbinden. Die Workshops der Konferenz ermöglichten es uns, Lehrmethoden auszutauschen, Tools zu teilen und Wege zur Verbesserung in beiden Regionen zu diskutieren.

Eine spannende Entwicklung aus unseren Diskussionen ist die Erstellung von vier Problem Books, die darauf abzielen, die Qualität und Konsistenz der Cyber-Ausbildung im Vereinigten Königreich zu verbessern. Diese Bücher konzentrieren sich auf vier Schlüsselbereiche: Wege in die Cyber-Welt, Cyber-Ausbildung, Cyber-Beschäftigungsfähigkeit und die Cyber-Ausbildungsgemeinschaft. Jedes dieser Bücher befasst sich mit einem anderen Aspekt der Vorbereitung von Studierenden auf die moderne Belegschaft im Bereich Cybersicherheit und stellt sicher, dass sie einsatzbereit und in der Lage sind, die Komplexität der Cyber-Resilienz und der digitalen Sicherheit zu bewältigen. Der problemorientierte Ansatz wird dazu beitragen, die Lücke zwischen akademischem Lernen und praktischer Anwendung zu schliessen.

Darüber hinaus arbeiten wir mit US-amerikanischen Hochschulen in drei Special Interest Groups (SIGs) zusammen, um Innovationen und die Angleichung in der Cyber-Bildung voranzutreiben. Die SIG «Working with Industry» konzentriert sich auf die Schaffung besserer Synergien zwischen Hochschulen und Arbeitgebern und stellt sicher, dass die Bildungsangebote mit dem Karriereverlauf und den Anforderungen der Branche übereinstimmen. Ein Schwerpunkt liegt auf der Entwicklung von Talentpools und der Berücksichtigung der unterschiedlichen Erwartungen der Arbeitgeber an die Einsatzfähigkeit der Arbeitskräfte.

Die SIG «Diversity» befasst sich mit den Zugangsbarrieren für unterrepräsentierte Gruppen im Bereich der Cybersicherheit. Wir haben die Notwendigkeit eines integrativeren Ansatzes für die Cyber-Bildung untersucht, der sich für Gleichberechtigung und Zugang einsetzt und dabei Faktoren wie Geschlecht, Ethnizität, Sozioökonomie und Neurodiversität berücksichtigt. Bei der Förderung der Vielfalt in der Cyber-Bildung geht es nicht nur darum, Quoten zu erfüllen, sondern darum, unterschiedliche Perspektiven zu nutzen, um komplexe Cyber-Herausforderungen zu lösen.

Schliesslich untersuchte die SIG «Innovation im Klassenzimmer», wie Technologie die Bildung verändern kann. Von der Ermöglichung von Fernunterricht und der Einrichtung virtueller Labore bis hin zur Integration von Simulationen aus der realen Welt, die aktuelle Herausforderungen der Cybersicherheit widerspiegeln, widmet sich diese SIG der Innovation dessen, was, wie, wo und wann Cybersicherheit gelehrt wird. Der Einsatz von Technologie zur Modellierung realer Bedrohungen und Umgebungen ist unerlässlich, um Schüler auf ein Gebiet vorzubereiten, in dem Gegner ihre Taktiken ständig weiterentwickeln.

Zusammenfassend lässt sich sagen, dass die Konferenz in Porto für CSE Connect einen grossen Schritt nach vorne bei der Entwicklung neuer Bildungsrahmen und Partnerschaften darstellte. Durch die Kombination von interdisziplinären Erkenntnissen, internationaler Zusammenarbeit und einem Fokus auf praktische, reale Einsatzbereitschaft gestalten wir die Zukunft der Cyber-Bildung mit, um den steigenden Anforderungen der Branche gerecht zu werden.

Sie sagen, dass die alte Garde der Cyber-Experten es in den letzten 30 Jahren versäumt hat, ihre Studenten auf die Arbeitswelt vorzubereiten. Worin besteht das Versäumnis?

Es handelt sich hierbei um einen relativ «jungen», unausgereiften und sich schnell entwickelnden Bereich, der in den letzten 30 Jahren stark von Anbietern und Technologie geprägt war.

In der Vergangenheit wurde Cybersicherheit als technisches Nischenfeld behandelt, das oft von umfassenderen geschäftlichen und betrieblichen Belangen isoliert war. Im Laufe der Zeit wurden digitale Systeme immer komplexer und hatten direkte Auswirkungen auf das Geschäft, während gleichzeitig einige Kernkomponenten des kritischen Cyber-Bereichs zur Massenware und in der Technologie-Hierarchie nach unten in die IT-Infrastruktur verschoben wurden.

Dies hat dazu geführt, dass Arbeitgeber nach Fachleuten für Cybersicherheit suchen müssen, die mit den neuen Umgebungen umgehen können, während Absolventen aus ihrer Ausbildung kommen und nicht wissen, wie Sicherheit in Geschäftsprozesse, rechtliche Rahmenbedingungen, Risikomanagement und Unternehmensführung integriert wird.

Die Entwicklung in diesem Bereich hat sich in den letzten fünf dieser 30 Jahre beschleunigt, auch aufgrund von Veränderungen in der Bedrohungslandschaft, mit zunehmenden Angriffszahlen, die aus einer grösseren Vielfalt von Aktivitäten resultieren und durch die zunehmende geschäftliche Versiertheit der Angreifer unterstützt werden.

Als ich also sagte: «… Versagen der alten Garde der Cyber-Experten», habe ich es mir etwas zu einfach gemacht! Es ist eher die Tatsache, dass es sich um ein komplexes Patchwork von Technologien handelt, das unter einem Mangel an echter Aufmerksamkeit seitens der Unternehmensführung gelitten hat und sich langsamer an das Tempo des Wandels anpasst als das Umfeld, in dem es sich befindet.

Es wurde auch von Schulungs- und Zertifizierungsorganisationen mit finanziellen Motiven und einem berechtigten Interesse an der aktuellen Situation benutzt. Sich ausschliesslich auf Zertifizierungen zu verlassen, hat zu einer Belegschaft geführt, die zwar über Qualifikationen verfügt, aber nicht unbedingt kompetent ist. Andere Anreize für Aus- und Weiterbildung (wie die britische Ausbildungsabgabe) sind eng auf technische Fähigkeiten ausgerichtet, anstatt diese mit einem angemessenen Schwerpunkt auf Kompetenzen, der praktischen Anwendung von Fähigkeiten und organisatorischen Komplexitäten zu kombinieren.

In der Praxis schliessen Cybersicherheitsexperten die Lücke bei der praktischen Anwendung von Fähigkeiten in ihrer täglichen Arbeit mit Schraubenschlüsseln und Kabeln. Natürlich wird die reale Welt komplexer als nur die Verwendung eines Schraubenschlüssels. Bald arbeiten wir mit komplexen Systemen, managen Vorfälle in Echtzeit und müssen uns nicht nur mit technologie- und prozessübergreifenden Zuständigkeiten auseinandersetzen, sondern auch mit rechtlichen, finanziellen und personellen Aspekten. An den Universitäten werden die Studierenden jedoch nicht in der praktischen Anwendung dieser Fähigkeiten geschult, sondern konzentrieren sich stattdessen auf das Bestehen von Prüfungen und nicht auf die Lösung realer Probleme.

Bei der Anwendung dieser Fähigkeiten aus der realen Welt zeigt sich immer ein Kompetenzdefizit, eine Lücke, die sich durch Erfahrung schliesst. Die Anwendung dieser Fähigkeiten in komplexen Systemen, um in einem dynamischen Arbeitsumfeld auf hohem Niveau zu arbeiten, erfordert eine Kombination aus Wissen, Fähigkeiten, Urteilsvermögen und Verhaltensweisen, ohne die die Cyberabwehr nicht richtig in der Organisation verankert wird.

Ein Student im Bereich IT kann beispielsweise lernen, wie man ein SIEM-Tool verwendet, aber ohne die analytische Kompetenz, den Kontext einer Warnung zu verstehen, oder die Entscheidungskompetenz, die richtige Reaktion zu bestimmen, ist er nicht auf eine Rolle in einem Sicherheitskontrollzentrum (Security Operations Center, SOC) vorbereitet. «Feuer!» zu rufen, wenn es keines gibt, ist eine kostspielige Angelegenheit, und es nicht zu rufen, ist destruktiv. Das ist eine heikle und ziemlich stressige Gratwanderung, auf die sich Analysten einstellen müssen.

Dies erfordert auch Soft Skills. Ich habe eine Vielzahl von Fachleuten eingestellt und geführt, bei denen neurodiverse und detailorientierte Mitarbeitende eine entscheidende Rolle spielen. Das bedeutet jedoch nicht, dass Soft Skills in unserem idealen und vielfältigen Team vernachlässigt werden können. Es handelt sich um Fachleute, die vielleicht einen anderen Karriereweg einschlagen.

Es ist klar geworden, dass die Branche heute mehr als nur technisches Können erfordert. Kommunikation, Teamarbeit und Risikomanagement sind von entscheidender Bedeutung, insbesondere für leitende Positionen wie die eines CISO. Es ist wichtig, die Studierenden von Anfang an darauf vorzubereiten, diese Wege mit den sich daraus ergebenden Möglichkeiten zu verstehen und zu beschreiten. Selbst auf der Ebene der Auszubildenden in Cybersicherheit dürfen wir nicht herablassend sein, sondern müssen den Lehrplan bereichern. Traditionelle Programme ignorieren oft die Soft Skills, sodass die Absolventen nicht in der Lage sind, nicht-technischen Interessengruppen Cybersicherheitsprobleme zu präsentieren oder unter Druck stehende Incident-Response-Teams zu leiten.

Es gibt hier einige Anzeichen für eine Entwicklung. Gestern habe ich mit Professor Angela Sasse gesprochen, die sowohl im Vereinigten Königreich als auch in Deutschland Erfahrung mit der Cyber-Ausbildung hat. Sie erzählte mir, dass in Deutschland viele Studenten in Unternehmen arbeiten und nebenbei studieren. Die Studenten neigen dazu, im Unterricht mehr zu hinterfragen und sich zu engagieren, und zeigen ihr Verständnis für die praktische Anwendung ihres Studiums, was im Vergleich zu Grossbritannien erfrischend klang. Wenn wir keine bessere Kombination aus Arbeit und Studium finden können, dann könnte die Einführung von Lernumgebungen, die Live-Fire-Simulations, Cyber-Ranges und ethische Hacking-Labore nutzen, um die Studierenden in realistische Szenarien einzutauchen, ein Kompromiss sein.

Übrigens ist dieser Mangel an praktischem Input der einen oder anderen Art nicht die Schuld der Universitäten, da sie sich um Input von Arbeitgebern bemühen. Aber sowohl Bildungseinrichtungen als auch Arbeitgeber haben oft in Silos gearbeitet, und die Freiwilligen, die Arbeitgeber an Universitäten entsenden, sind oft von den sich schnell ändernden Anforderungen der Cybersicherheitsbranche abgekoppelt, da die Arbeitgeber es sich anscheinend nicht leisten können, Berater aus der Praxis zu entsenden, die lange Arbeitszeiten haben. Dies führt zu einer Diskrepanz zwischen den Anforderungen der Branche und den Kursen und Lehrplänen, die von Akademikern ohne direkten Input von Branchenfachleuten, die wissen, welche Kompetenzen derzeit gefragt sind, entworfen werden.

Dieses Problem aus der Sicht eines Studenten zu betrachten, bringt ebenfalls interessante Erkenntnisse. Sie sagen uns, dass im Gegensatz zu anderen Bereichen, die es wert sind, studiert zu werden, im Bereich der Cybersicherheit der Lehrplan, die Karrierewege, ganz zu schweigen von den Anforderungen der Arbeitgeber und den Rollen, nicht klar sind. Die Studierenden sagen uns, dass sie nach Abschluss ihres Studiums ein Erfolgserlebnis haben möchten, mit stolzen Freunden und Familienangehörigen, und bezeichnenderweise mit der Erwartung, dass Arbeitgeber für ihre wichtigen Fachkenntnisse eine Prämie zahlen. Heutzutage zahlen Arbeitgeber für «Cyber»-spezifisches Wissen und Erfahrung keine Prämie auf Einstiegsebene. Aufgrund dieser Verwirrung erstellen sie umfangreiche, unrealistische Stellenbeschreibungen und verlangen für die Einstiegsebene «3 Jahre plus Erfahrung», um ihr Risiko zu mindern und die Kosten für Investitionen in nicht arbeitsfähige Studierende zu erkennen.

Um diese Anpassungen in einem so komplexen Bereich zu beschleunigen, ist eine enge Abstimmung zwischen Arbeitgeber, Ausbildungsorganisation und Studierenden auf der Grundlage eines klar formulierten Lehrplans erforderlich, der der Komplexität und tiefen Integration der modernen IT gerecht wird, aber auch anpassungsfähig ist.

Angesichts der von Technologieanbietern geprägten Geschichte und der Bedeutung von CISOs, die stolz darauf sind, das neueste Tool auszuwählen, spiegelt das Schulungsmaterial weiterhin diese Verhaltensweisen wider. Dieser Ansatz führt immer noch dazu, dass die Studierenden zwar technisch ausgebildet, aber oft schlecht für die praktischen und sich schnell entwickelnden Anforderungen realer Cybersicherheitsaufgaben gerüstet sind.

Schlussfolgerung:

Das Versäumnis, Studierende auf die Arbeitswelt vorzubereiten, ist auf einen starren, veralteten und übermässig technischen Ansatz in der Cybersicherheitsausbildung zurückzuführen. Der Fokus auf Fähigkeiten ohne Förderung von Kompetenzen und Praxisnähe hat zu Absolventen geführt, die zwar akademisch vorbereitet, aber für die praktische Arbeit in dynamischen, unter hohem Druck stehenden Umgebungen schlecht vorbereitet sind.

Um diese Probleme anzugehen, müssen akademische Einrichtungen:

• Engere Kontakte zu Branchenpraktikern knüpfen, um sicherzustellen, dass die Lehrpläne den modernen Anforderungen entsprechen.
• Der Schwerpunkt sollte auf eine praxisnahe, praktische Ausbildung verlagert werden, die die realen Herausforderungen der Cybersicherheit widerspiegelt.
• Förderung von Soft Skills und interdisziplinärem Denken, um die Studierenden auf die Zusammenarbeit am modernen Arbeitsplatz vorzubereiten.
• Übergang von einem fähigkeitsbasierten Ansatz zu einem kompetenzbasierten Modell, bei dem die Studierenden nicht nur darin geschult werden, mit Tools umzugehen, sondern auch, kritisch zu denken, Probleme zu lösen und unter Druck effektiv zu kommunizieren.

Was muss sich genau ändern?

Vieles von dem, was sich ändern muss, habe ich oben bereits angesprochen, aber eine kurze Ergänzung dieser Schlussfolgerungen lautet.

Enge Zusammenarbeit mit der Industrie:

• Anpassung an moderne Bedürfnisse: Lehrpläne für Cybersicherheit müssen in enger Zusammenarbeit mit Branchenexperten entwickelt werden, um sicherzustellen, dass sie aktuelle Bedrohungen, Technologien und praktische Bedürfnisse widerspiegeln. Durch die regelmässige Zusammenarbeit mit Unternehmen wird sichergestellt, dass die Studierenden die relevantesten und aktuellsten Fähigkeiten erlernen. Dies wird auch die Schaffung von Zertifizierungsprogrammen fördern oder «durchsetzen», die den Anforderungen der realen Welt entsprechen und den Studierenden bessere Berufsaussichten bieten.

Fokus auf praktische Ausbildung:

• Anwendung in der Praxis: Theoretisches Wissen allein reicht in der sich schnell entwickelnden Cyber-Bedrohungslandschaft von heute nicht aus. Bei der Ausbildung im Bereich Cybersicherheit muss praktisches, praxisnahes Lernen durch Simulationen, Laborübungen und Fallstudien aus der Praxis im Vordergrund stehen. Durch die Teilnahme an Cyber-Übungen oder Live-Fire-Simulations können die Studierenden reale Angriffsszenarien erleben und sich so besser auf die Reaktion auf Vorfälle und operative Aufgaben nach dem Abschluss vorbereiten.

Förderung von Soft Skills und interdisziplinärem Denken:

• Zusammenarbeit und Kommunikation: Neben technischem Fachwissen benötigen moderne Cybersicherheitsexperten ausgeprägte Kommunikations-, Führungs- und interdisziplinäre Fähigkeiten. Cybersicherheit erstreckt sich heute über rechtliche, finanzielle und operative Bereiche. Schulungsprogramme sollten daher Module enthalten, die Teamarbeit, abteilungsübergreifende Zusammenarbeit und die effektive Kommunikation technischer Risiken an nicht-technische Interessengruppen wie Führungskräfte oder Vorstandsmitglieder vermitteln.

Übergang von einem fähigkeitsbasierten zu einem kompetenzbasierten Modell:

• Entwicklung von Problemlösungs- und kritischem Denkvermögen: Ein kompetenzbasiertes Modell konzentriert sich nicht nur auf die Beherrschung von Tools, sondern auch auf kritisches Denken, Problemlösung und Entscheidungsfindung unter Druck. Dadurch wird sichergestellt, dass die Studierenden nicht nur bestimmte Aufgaben erledigen, sondern sich auch an neue Herausforderungen anpassen, strategisch denken und in dynamischen Situationen die Führung übernehmen können. Kompetenzen wie Risikobewertung, ethische Entscheidungsfindung und Anpassungsfähigkeit müssen in den Bildungsrahmen integriert werden, um gut ausgebildete Fachkräfte hervorzubringen, die in der Lage sind, komplexe und sich entwickelnde Cyber-Bedrohungen zu bewältigen.

Durch eine Reform der Cybersicherheitsausbildung, die diese Punkte integriert, können wir die Lücke zwischen akademischem Lernen und industrieller Einsatzfähigkeit schliessen und sicherstellen, dass die Absolventen besser auf die Anforderungen der modernen Cybersicherheitsbranche vorbereitet sind.

Sie haben eine Vielzahl von Cyberprogrammen im akademischen Bereich unterstützt. Können Sie uns einige Beispiele nennen?

Während meiner akademischen und beruflichen Laufbahn habe ich mich in verschiedenen hochrangigen Positionen an führenden akademischen Einrichtungen intensiv für den Wissensaustausch und die Förderung der Widerstandsfähigkeit im Bereich der Cybersicherheit eingesetzt. Als ehemaliger akademischer Betreuer an der Universität Cambridge, Dozent an der Royal Holloway, UCL, und als Unterstützer der Universität Oxford bei Regierungsprojekten hatte ich das Privileg, direkt zur Ausbildung und Entwicklung zukünftiger Führungskräfte im Bereich Cybersicherheit beizutragen. In jeder dieser Rollen habe ich mich darauf konzentriert, praktische, reale Erkenntnisse mit akademischer Theorie zu verbinden und sicherzustellen, dass die Studierenden nicht nur technische Fähigkeiten erwerben, sondern auch die Fähigkeit, diese in sich entwickelnden, komplexen Umgebungen anzuwenden.

Ich hatte auch die Ehre, als Vorsitzender des Beirats von RISCS (Research Institute for Sociotechnical Cyber Security) zu fungieren, einem Gremium, das wichtige Cybersicherheitsforschung für das NCSC (National Cyber Security Centre) betreibt. Diese Rolle hat es mir ermöglicht, die soziotechnische Forschung mitzugestalten, die die Schnittstelle von Technologie, Menschen und Organisationen untersucht und Cybersicherheit aus einer ganzheitlichen Perspektive betrachtet. Unsere Arbeit stellt sicher, dass Cybersicherheitsstrategien auf Forschungsergebnissen basieren, die menschliches Verhalten und gesellschaftliche Auswirkungen verstehen, nicht nur technische Schwachstellen.

Als Co-Direktor von CSE Connect, einer vom NCSC gesponserten Einrichtung, bin ich ausserdem dafür verantwortlich, bei der Organisation und Ausrichtung von Verbesserungen in der britischen Cybersicherheitsausbildung zu helfen. Diese Rolle hat mir die Möglichkeit gegeben, mit verschiedenen Institutionen zusammenzuarbeiten, um sicherzustellen, dass unser Bildungssystem arbeitsfähige Absolventen hervorbringt, die bereit sind, die Herausforderungen der Cybersicherheit von morgen anzugehen. Meine Leidenschaft bei all diesen Bemühungen wird von dem Wunsch angetrieben, etwas zurückzugeben – mein Wissen und meine Erfahrung zu teilen, um dazu beizutragen, die langfristige Widerstandsfähigkeit des Sektors zu stärken.

Ich glaube, dass meine Arbeit nicht nur zur individuellen Weiterentwicklung der Studierenden beigetragen hat, sondern auch zur Stärkung des breiteren Cybersicherheits-Ökosystems, indem ich dafür sorge, dass die nächste Generation von Fachleuten und Führungskräften sowohl für die technischen als auch für die soziotechnischen Herausforderungen gerüstet ist, die die moderne Cybersicherheit definieren.

Teil 1 dieses Interviews wurde am 21. Oktober 2024 veröffentlicht.

John Madelin verfügt über mehr als 30 Jahre praktische Erfahrung in zahlreichen Front-Line-Rollen, die sich auf die Konzeption, den Aufbau und das Management von Cybersicherheit konzentrierten – und intensive Verantwortlichkeiten im Bereich des Managements von Cybervorfällen umfassten. Johns Erfahrung erstreckt sich auf die Bereiche Regierung, Banken, Einzelhandel, Fertigung und Versorgungsunternehmen. Sein praktischer Ansatz wird durch seine Beteiligung an der Verwaltung einer der größten Datenbanken für Cybervorfälle der Branche mit Strafverfolgungsbehörden untermauert.

Als langjähriges Mitglied der Sicherheitsgemeinschaft hat er viele bedeutende Rollen und Verantwortlichkeiten übernommen. In den letzten Jahren gehörten dazu:

• Entwurf des öffentlichen Konsultationsdokuments der britischen Regierung zum Cyber-Beruf;
• Vorsitzender von RISCS, einem der führenden Forschungsausschüsse, der der britischen Regierung Material zur Cybersicherheit zur Verfügung stellt;
• Stark involviert in den Verizon Data Breach Report in den Anfangstagen
• Zusammenarbeit mit Analyst Cyentia (Wade Baker ex Verizon DBR) bei zwei Jahren Board- und CISO-Interviews
• Er wurde Oxford Martin Associate zum Thema internationale Zusammenarbeit, woraus NIS2 wurde;
• Er bot Beratung als akademischer Betreuer an der University of Cambridge an;
• Er beriet eine andere grosse nationale Regierung als reguläres Ausschussmitglied;
• Und er war Co-Direktor von CSEConnect, einer von NCSC gesponserten Initiative zur Professionalisierung der Cyber-Akademia.
• Sowohl CISO als auch Dienstleister für grosse Sicherheitsunternehmen.

Lesen Sie auch: Teil 1 des Interviews mit John Madelin