Frage 1: Hallo Matthias, du leitest bei uns am Fraunhofer IEM die Abteilung „Sichere Services & Apps“ und bist als Trainer für den „Software Security Kurs für Product Owner & Führungskräfte“ aktiv. Warum sollten sich auch Product Owner und Führungskräfte mit Software Security beschäftigen?

Matthias: Zum einen sollten Führungskräfte und Product Owner verstehen wie sicher die Produkte sind, für die sie verantwortlich sind. Nur so können diese Rollen fundierte Entscheidungen zu treffen welche Ressourcen in die Software Security investiert werden sollen. Zum anderen wird die Verantwortung bezüglich der Security vernetzter Produkte zunehmend auch durch Gesetze und Normen gefordert. So wird beispielsweise der kommende EU Cyber Resilience Act (CRA) Software Security zur „Chefsache“ machen: Wird die Software Security vernachlässigt, drohen empfindliche finanzielle Strafen. Nach einem aktuellen Entwurf zur Umsetzung des CRA, könnte es die verantwortlichen Führungskräften sogar den Job kosten.

Product Owner und Führungskräfte tragen somit eine Verantwortung für die Security der entwickelten Produkte. Häufig fehlt jedoch noch das Bewusstsein, dass sichere Software für den Unternehmenserfolg von entscheidender Bedeutung ist. Auch die konkreten Einflussmöglichkeiten der Product Owner und Führungskräfte sind oft nicht bekannt, so dass systematische Maßnahmen unterbleiben und das Thema allein den Entwicklungsteams überlassen wird. Erst wenn es zu spät ist und ein Sicherheitsvorfall eingetreten ist, wird gehandelt. Mit unserem Schulungsangebot wollen wir auch hier ein Umdenken anstoßen: Erstens soll Software Security als unternehmenskritische Anforderung verstanden werden und zweitens sollen Product Owner und Führungskräfte frühzeitig Maßnahmen ergreifen können, um ihre Produkte effektiv vor Angriffen zu schützen.

Frage 2: Was können die Teilnehmenden von der Schulung erwarten?

Matthias: In unserer Schulung werden Product Owner und Führungskräfte zunächst für das Thema „Software Security“ sensibilisiert und anschließend in die Lage versetzt, konkrete Aufgaben zur Sicherstellung der Software Security in ihrem Verantwortungsbereich zu übernehmen. Dazu gehören der regelmäßige Austausch mit relevanten Stakeholdern wie z.B. Entwicklern, der Aufbau eines adäquaten Risikomanagements oder auch die Einführung eines Product Security Incident Response Teams. Wir wollen die Teilnehmenden jedoch nicht nur in die relevanten Konzepte einführen und eigene Umsetzungsmöglichkeiten erarbeiten lassen, sondern auch den Transfer in die Unternehmenspraxis unterstützen. Dazu bieten wir ein abschließendes Coaching-on-the-Job an, in dem sich die Product Owner und Führungskräfte individuell zu Sicherheitsherausforderungen in ihrem Verantwortungsbereich beraten lassen und ihre eigene Handlungskompetenz stärken können.

Frage 3: Wann und wie können Product Owner und Führungskräfte an dem Kurs teilnehmen?

Matthias: Wir bieten dieses Jahr zwei offene Kurse an, für die sich Product Owner und Führungskräfte aus verschiedenen Unternehmen anmelden können. Vom 16.10.2023 - 17.10.2023 findet der Kurs als Live-Online-Veranstaltung statt. Vom 21.11.2023 - 22.11.2023 sind wir erstmals im Fraunhofer Forum in Berlin und bieten eine Präsenzveranstaltung an. Für beide Termine gibt es zurzeit noch einige freie Plätze. Neben den offenen Terminen kann der Kurs auch als Inhouse-Veranstaltung für Unternehmen gebucht werden. Hier besteht die Möglichkeit, unternehmensspezifische Anpassungen vorzunehmen und eigene Schwerpunkte zu setzen.