AUGUST / SEPTEMBER 2013 AlixPartners Viewpoint Daueraufgabe Cyber-Security Von Andreas Rüter, Managing Director, AlixPartners und Joachim Winterstein, Director, AlixPartners Kreditkartendaten werden gestohlen, Bankkonten geplündert, IP und vertrauliche Informationen entwendet, Identitäten manipuliert, Services lahmgelegt, Viren eingeschleust, falsche Geschäfte vorgetäuscht, Infrastrukturen manipuliert und vieles mehr: Die Liste potenzieller Schadensdelikte verursacht durch Cyberkriminalität ist lang. Schon vor PRISM, Tempora und XKeyscore war die Frage nicht, ob Cyber-Security eine Bedrohung für deutsche Unternehmen und den Standort Deutschland darstellt, sondern wie sich Staat, Privatpersonen und Unternehmen schützen können. Dieser AlixPartners Viewpoint analysiert, welche Voraussetzungen in Unternehmen gegeben sein müssen und welche Voraussetzungen derzeit von der Bundesrepublik Deutschland und der EU geschaffen werden. Jeden Tag werden weltweit schätzungsweise eine Million Menschen Opfer von Cyberstraftaten. Dem Software-Unternehmen Symantec zufolge gibt es täglich fast hundert Profi-Angriffe von Hackern auf Unternehmen. Während die meisten EU-Bürger angeben, zuletzt etwas über Internetkriminalität gesehen oder gehört zu haben, ist das wahre Ausmaß des durch Cyberkriminalität verursachten Schadens kaum bekannt. Und: Nur wenige Unternehmen wissen, wie sie sich gegen derartige Angriffe schützen können. Heute sind zwar mehr als die Hälfte der Firmen mit dem Gefahrenpotenzial gezielter Cyber- Angriffe, Advanced Persistent Threats (APTs) oder Distributed Denial of Service (DDoS) vertraut, die Mehrheit der EU-Bürger aber fühlt sich nicht ausreichend oder überhaupt nicht über die Risiken der Internetkriminalität informiert. Dies geht aus einer Studie hervor, die von TNS Opinion & Social Network in den 27 Mitgliedsstaaten der EU im März 2012 durchgeführt wurde.
2 CYBERKRIMINALITÄT VERURSACHT GROßEN WIRTSCHAFTLICHEN SCHADEN Cyber-Attacken auf britische Unternehmen steigen sprunghaft an Britische Unternehmen werden zunehmend Opfer von Cyberkriminalität fast alle großen und kleinen Firmen waren im letzten Jahr betroffen Milliardenschäden durch Cyber-Attacken Untersuchungen zeigen, dass Großbritannien ein jährlicher Schaden in Milliardenhöhe durch Cyberkriminalität entsteht Unternehmen sehen sich alle paar Tage Sicherheitsverstößen gegenüber Mehr Banken von Cyber-Attacken betroffen als angenommen Sony hat berichtet, dass der Hacker-Angriff auf das PlayStation-Netzwerk und deren damit verbundene Nichtverfügbarkeit die Firma 171 Millionen US-Dollar kosten wird. Beide Zeitungen haben im Januar 2013 berichtet, dass Hacker die Rechner der Firma infiltriert haben mit dem Ziel, Zugang zu Informationen von Reportern zu erhalten, die über China berichten Quelle: AlixPartners Cyberkriminalität ist nicht nur ein Thema für Privatpersonen und Unternehmen, sondern auch volkswirtschaftlich relevant. Der durch Cyberkriminalität entstehende finanzielle Schaden beläuft sich laut einer EU-Studie auf weltweit fast 400 Milliarden US-Dollar jährlich. Aber es ist nicht nur der monetäre Schaden, der Unternehmen schmerzt, sondern auch der Verlust von Reputation, geistigem Eigentum (Intellectual Property) und von Vertrauen bei Geschäftspartnern. Der Aufwand, der betrieben werden muss, um Cyberkriminalität zu bekämpfen im Angriffsfall, aber auch generell in der Compliance-Vorbereitung ist beträchtlich. Denn viele Unternehmen haben verstanden: Es geht nicht darum, ob ein wirklich signifikantes Sicherheitsproblem auftritt, sondern wann das passiert. Die EU und die Bundesrepublik Deutschland bringen Initiativen zur Bekämpfung von Cyberkriminalität auf den Weg. Die Europäische Kommission hat einen Vorschlag zur Errichtung eines im Europäischen Polizeiamt (Europol) in Den Haag angesiedelten Europäischen Zentrums zur Bekämpfung der Cyberkriminalität vorgelegt, das den europäischen Bürgern und Unternehmen im Kampf gegen die zunehmende Bedrohung durch Cyberstraftaten Hilfe leisten soll. Insbesondere soll das Amt gegen illegale Online-Tätigkeiten organisierter krimineller Vereinigungen vorgehen, die hohe illegale Erträge abwerfen, darunter Online-Betrug mit gestohlenen Kreditkarten und Bankkontendaten. Unternehmen und Industrieverbände sollen beraten werden und erster Ansprechpartner bei der Bekämpfung von Cyberkriminalität sein. Kernaufgabe ist die Aufdeckung von organisierten Netzen krimineller Cyber-Banden (zum Beispiel das Botnet Citadel, das amerikanische Banken um 500 Millionen US-Dollar erleichtert hat), die Aufdeckung von Mängeln in der Abwehr von Straftaten sowie die Bekämpfung großangelegter, grenzüberschreitender Online-Delikte. Auf Bundesebene hat Bundesinnenminister Hans- Peter Friedrich Maßnahmen für einen besseren Schutz der kritischen Infrastruktur und für die Erfüllung von Mindeststandards zum Schutz gegen Cyberkriminalität in Unternehmen eingeleitet.
3 Das Gesetz für Cybersicherheit ist in einigen Kernbranchen zwar umstritten und wird wegen befürchteter Überregulierung teilweise abgelehnt, aber die bereits in den USA forcierte Meldepflicht der Unternehmen (insbesondere Betreiber kritischer Infrastrukturen) zu Angriffen aus dem Internet wird auch in der EU und hierzulande kommen. Unternehmen werden eine Art Sicherheitsbilanz erstellen und erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen. Von Unternehmen antizipierte negative Implikationen wie Zusatzaufwand und die Befürchtung, gerade börsennotierter Unternehmen, bei voller Transparenz im Schadensfall gegenüber Geschäftspartnern und Investoren Vertrauens- und Imageverluste zu erleiden, steht positiv gegenüber, dass damit der Druck gegeben ist, sich umfassend im Bereich der Cyber-Security aufzustellen. WER KÜMMERT SICH IM UNTERNEHMEN? Das Thema Cyber-Security ist typischerweise in der IT-Abteilung angesiedelt, was in der Regel leider nur einen, wenn auch wichtigen Aspekt der Schadensbekämpfung berücksichtigt: Die Bereitstellung von IT- Sicherheitslösungen und -maßnahmen. Hinsichtlich des Ausmaßes der Schäden und der Breite der möglichen Einfallstore in ein Unternehmen, springt dieser Ansatz jedoch zu kurz. Cyberkriminalität kann nur umfassend adressiert werden, wenn Geschäftsziele und -anforderungen berücksichtigt und damit abgestimmt sind. Das heißt, beide Business und IT müssen gemeinsam Verantwortung für die Vermeidung und Abwehr von Attacken übernehmen. Denn der Feind sitzt nicht nur anonym außerhalb des Unternehmens. In Analysen werden häufig der leichtfertige Umgang von Mitarbeitern mit Sicher- UMFRAGE ZUR INFORMIERTHEIT ÜBER CYBERKRIMINALITÄT IN DEUTSCHLAND IM JAHR 2012 Wie gut fühlen Sie sich über die Risiken der Cyberkriminalität informiert? Anteil der Befragten in % 37 31 22 7 3 Sehr gut informiert Ziemlich gut informiert Nicht sehr gut informiert Überhaupt nicht informiert Weiß nicht Quelle: Europäische Kommission / Statista
4 heitsstandards, Datenmissbrauch durch eigene Mitarbeiter sowie Diebstahl und Verlust von Hardware als eigentliche Gefahrenquellen für die Sicherheit in Unternehmen genannt. SECURITY VERÄNDERT SICH RASANT Wie Dopingfahnder müssen Unternehmen auf ständig neue Methoden und Mittel der Cyberkriminellen vorbereitet sein. Viele Firmen haben sich darauf eingestellt, indem sie Hacker und Sicherheitsspezialisten beschäftigen; aber gerade Mittelständler sind von einer wirkungsvollen Verteidigungslinie noch weit entfernt oder glauben, mit einem singulären Projekt und einigen wenigen Verbesserungsmaßnahmen das Problem nachhaltig adressiert zu haben. jüngste Vergangenheit beispielsweise der Computerwurm Stuxnet gezeigt, dass es viel mehr, bisher nicht berücksichtigte Angriffspunkte innerhalb und außerhalb eines Unternehmens gibt. Die Einfallstore und Sicherheitslücken sind durch Digitalisierung, Shareconomy und Cloud-Computing deutlich größer geworden. Diese Sicherheitslücken (zum Beispiel Zero-Day-Exploits in Betriebssystemen) haben einen hohen Wert für Cyberkriminelle sowie für IT-Firmen. Das macht den Markt für IT-Sicherheitsfirmen hochbegehrt: Finanzinvestoren und große strategische IT-Firmen kauften in den vergangenen Jahren gezielt Anbieter von Sicherheitslösungen und Software hinzu. Den Unternehmen werden in der Regel technische Einzellösungen angeboten, die aber immer nur Teilaspekte adressieren können. Während es bislang zur Philosophie der meisten Unternehmen gehörte, die bekannten virtuellen Grenzübergänge nach außen zu sichern, hat die Ganzheitliche und nachhaltige Lösungen zur Abwehr von Cyberkriminalität als Daueraufgabe findet man kaum. VERTRAUTHEIT MIT GEFAHREN DURCH COMPUTERKRIMINALITÄT BEI UNTERNEHMEN, WELTWEIT Wie vertraut sind Sie mit dem Gefahrenpotenzial folgender Sicherheitsrisiken für Ihr Unternehmen? Anteil der Befragten in % Gezielte Angriffe 59 Verwendung von Smartphones für Firmenangelegentheit Keylogger Distributed Denial of Service (DDoS-Attacken) Kurz-URLs 55 55 58 58 Quelle: Symantec, SMB Threat Awareness Poll, 2011 / Statista
5 IT SPIELT ZWAR KERNROLLE, ABER KANN CYBER-SECURITY NICHT ALLEIN ADRESSIEREN zwischen Businessabteilungen, IT und Sicherheits- teams und damit nicht zu einer umfassenden Lösungsbearbeitung geführt: Bis vor kurzem sind Cyber-Security-Problemstellungen typischerweise dem Chief Information Officer (CIO) überlassen worden was durchaus richtig und sinnvoll war, wurden doch die meisten Probleme mit technischen Mitteln (zum Beispiel Security Monitoring oder Vulnerability Management) gelöst. Es zeigt sich, dass die gleiche Grundhaltung zum Tragen kommt, die in der Vergangenheit häufig zum Scheitern von Maßnahmen zur Effizienz- und Effektivitätssteigerung in Unternehmen geführt hat: Die Vorstellung, bei einem Problem einfach das passende System oder die passende Software zu erwerben, in die IT-Landschaft zu integrieren und die Ergebnisverantwortung dadurch an die Technik zu delegieren. Eine Auswertung von Schadensfällen über einen langen Zeitraum bestärkt allerdings die Skepsis gegenüber einer rein technisch getriebenen Systemlösung. So sehr Passwörter, Verschlüsselungsalgorithmen und Firewalls die naheliegenden Sicherheitsrisiken im Umgang mit vertraulichen Daten reduzieren können, so machtlos sind sie gegenüber mangelnder Sensibilisierung aller (!) Mitarbeiter, nicht existenten Unternehmensstrategien zum Thema Gesamtsicherheit, unklaren Zuständigkeiten sowie nicht existierenden Policies und Prozessen. Darüber hinaus hat dieses technologisch getriebene Vorgehen häufig zu Abstimmungsschwierigkeiten Eher Sicherheit-sagt-nein - als Sicherheit-cando -Mentalität. Allzu häufig wurden durch die IT-Sicherheitsteams Barrieren und Restriktionen durch obskure Richtlinien (Policies) etabliert. Sicherheitsfunktionen im Unternehmen lassen oft einen geschäfts- oder kundenorientierten Ansatz vermissen und fokussieren sich rein auf die Implementierung einer IT-Lösung, anstatt Geschäftsprobleme sowie Anforderungen an Prozesse zu berücksichtigen. Häufig werden ad-hoc Einmal-Lösungen implementiert, die nicht als dauerhafter, grundsätzlicher Schutz fungieren können: Sicherheitsprobleme werden dann nur als Bereitstellung einer technischen Lösung und nicht durch Verankerung von angemessener Sicherheit in den Kern-Geschäftsprozessen adressiert. Effektive Kommunikation mit dem Business ist durch den typischen IT Talk erschwert und blockiert oft das gemeinsame Engagement für eine wirkungsvolle Lösungsfindung. Zudem werden nicht selten Geschäftsrisiken ohne Berücksichtigung einer Wahrscheinlichkeit des Eintretens bewertet, sondern nur, ob das Risiko existiert oder nicht. Dies hat nicht dazu beigetragen, das Thema Sicherheit auf der Agenda des Top-Managements weiter oben zu platzieren. Fehlende Aufmerksamkeit wiederum führt zu Schwierigkeiten, die notwendige Unterstützung und vor allem Budgets für Sicherheitsinitiativen zu erhalten.
6 DIE HAUSAUFGABEN WAS SOLLEN UNTERNEHMEN BEACHTEN? Um Transparenz zu schaffen hinsichtlich des Status Quo und des Gefahrenpotenzials ist ein Sicherheits- Audit (Cyber Security QuickStrike) zu empfehlen. Experten, ehemalige Sicherheitschefs und Technologieexperten testen die Verwundbarkeit des Unternehmens bei Cyberattacken auf Herz und Nieren und leiten daraus Empfehlungen zur Umsetzung ab. Voraussetzung hierfür ist eine Bestandsaufnahme der wirklichen Assets einer Firma. Dies determiniert eine wichtige Weichenstellung hinsichtlich der eigentlichen Sicherheitsstrategie: Bestehen die Assets in Form von elektronisch gespeicherten Dokumenten, Verfahren, Fähigkeiten, Erkenntnissen und Goodwill oder in der Performanz von Prozessen und Systemen? Sind diese Assets an Individuen, an Gruppen oder abstrakt an die Firma gebunden? Kann ein spezifisches Asset selektiert und sollte dieses spezifische Asset geschützt werden; und bis zu welchem Aufwand ist es noch wirtschaftlich sinnvoll? Nicht jede Datei (und deren siebenundachtzigste Variante) muss wie in Fort Knox gesichert werden; andererseits sollte vielleicht kein Computer in der R&D-Abteilung über eine USB-Schnittstelle verfügen. Nach dieser grundsätzlichen Bestandsaufnahme werden dann, bereits mit dem Kontext Wert des Assets folgende Aspekte neben der reinen Technologie-Bewertung einer Untersuchung unterzogen: Sicherheitsstrategie definieren und umsetzen Nicht die teuerste Lösung, sondern eine nach Risikoprofil ausgewogene und effiziente Sicherheitsstrategie, die auf das Unternehmen und den Geschäftszweck ausgerichtet ist. Verankerung von Policies und einer Sicherheits- Governance im Unternehmen Verantwortlichkeiten im Unternehmen sind festzulegen und entsprechend zu verankern. Ganz wichtig sind klare Regeln, Reporting- und Eskalationspfade im Ernstfall und zwar nicht nur auf IT-, sondern auch auf Business-Seite (siehe unten). Die verantwortlichen Mitarbeiter müssen dediziert geschult sein für den Angriffsfall. Und es ist wichtig, auch den Umgang mit der Kommunikation im Unternehmen und nach außen (Presse) vorzudefinieren. Verstehen, wie die Angreifer ticken Hacker werden nicht nur hinzugezogen, um die neuesten Technologien und Tricks mit einzubeziehen, sondern auch die Philosophie und damit das Vorgehen der Angreifer zu verstehen. Ein Beispiel ist die Vermeidung jeglicher Remote Communication Möglichkeit durch Hacker. Die Kontrolle der Daten Die Kontrolle der Daten ist immer schwerer steuerbar. Daten wandern über Landesgrenzen, zu (manchmal unbekannten) physischen und virtuellen Orten, deren spezifischen Regulierungen und Rechtsprechungen verstanden und berücksichtigt werden müssen. Die neue EU Data Protection- Richtlinie wird die Komplexität weiter erhöhen.
7 Cyber-Security ist Top-Priorität Verankerung im Unternehmen Cyber-Security muss auf der Board Agenda ankommen und volle Unterstützung durch das Management bekommen. Der Kulturwandel funktioniert, wenn Mitarbeiter entsprechend sensibilisiert werden. Die Mitarbeiter werden mit den wesentlichen Risiken konfrontiert und entsprechend geschult, wie sie sich und damit die Firma schützen. Beispiel: Eigene Mobile Devices (BYOD, Bring Your Own Device) sind potenzielle Einfallstore und müssen gesichert werden. Eigene Anwendungen, die in der Cloud liegen, müssen klar isolierbar sein durch BYOD, das heißt Einsatz von privaten Endgeräten und nicht standardisierten Firmengeräten für Geschäftszwecke. Digitalisierung führt zu höherer Datenkomplexität Die Digitalisierung trägt dazu bei, dass sich der Datenaustausch generell verändert. Die Datensicherheit wird komplexer und nicht mehr so einfach linear steuerbar, gerade beim Einsatz von Cloud Computing und Social Media; und weil Informationen immer häufiger auch in öffentlichen Foren geteilt werden. Ebenso verbreiten sich im Problemfall die Nachrichten durch Emails, Social Media und Presse entsprechend schnell an eine breite Öffentlichkeit. Monitoring und Analyse das Sicherheits-Dashboard Relevante Parameter für die Beurteilung der Sicherheit müssen definiert und regelmäßig überprüft und ein Sicherheits- Dashboard (Ongoing Threat Monitoring) muss eingerichtet werden. Wie bei einer Vermögensanlage muss man sich über den Risikograd im Klaren sein. Forensische Untersuchungen können das regelmäßige Monitoring ergänzen. Auch außerhalb des Unternehmens müssen Ansprüche gestellt werden An Lieferanten, Kontraktoren und andere Geschäftspartner müssen ähnliche Sicherheitsstandards gestellt und dort etabliert werden. Die Kunden von Unternehmen sind zunehmend besorgt über Sicherheit und Schutz ihrer persönlichen Daten, seit prominente Fälle von Diebstahl und Veröffentlichung kundespezifischer Daten bekannt geworden sind es bedarf nur eines einzigen Vorfalls, um das Vertrauen zu verspielen. Von Lieferanten wird ein angemessener Sicherheitslevel gefordert, insbesondere da mehr und mehr Abhängigkeiten zu Drittorganisationen etabliert werden, die damit Teil der Wertschöpfungs- und Datenaustauschkette werden. Alle Beteiligten einbinden und frühzeitig Akzeptanz herstellen Die Sicherstellung der Akzeptanz von Lösungen in allen Unternehmensbereichen ist eine häufig unterschätzte Herausforderung bei der Implementierung von neuen Verfahren und Prozessen. Eine frühe Einbindung der Beteiligten und systematisches Change Management sind essenziell zur nachhaltigen Umsetzung einer Cyber-Security-Strategie.
8 DIE ZUKUNFT VON CYBER-SECURITY IST BUSINESS SECURITY Business Security soll das Geschäftsproblem im Auge behalten und die Anforderungen definieren und adressieren, nicht allein die technische Lösung. Business Security hat in erster Linie mit den involvierten Personen zu tun. Die Kern-Entscheidungsträger und betroffene Mitarbeiter, auch die nur indirekt betroffenen Mitarbeiter, sind einzubinden und zu engagieren, um die Ausrichtung der Sicherheitsstrategie in einer für alle verständlichen Sprache zu formulieren. Business Security sollte durch sehr erfahrene Mitarbeiter verantwortet werden. Um Prioritäten setzen zu können, die wichtigen Problemfälle richtig anzugehen und diese im Geschäftskontext zu bewerten, ist spezifisches Know-how erforderlich. Die Security Professionals müssen sicherheitsrelevante Vorkommnisse erkennen, analysieren und schnell beheben können. Und sie müssen in der Lage sein, gemeinsam mit dem Business sichere und innovative Lösungen entwickeln und umsetzen zu können. Kern-Kompetenz der IT-Abteilung ist dabei die Konfiguration, Implementierung und Wartung der Tools. Die Geschäftsbereiche dagegen steuern das Know-how zu den Anforderungen sowie Prozesse und Daten bei. Dem kompletten Verständnis der Datenflüsse von der Generierung bis zum Ende kommt dabei besondere Bedeutung zu. Nur so können die richtigen Anforderungen definiert und priorisiert werden. Jetzt müssen eigentlich nur noch beide Disziplinen ein besseres gegenseitiges Verständnis entwickeln der Geschäftsbereichsverantwortliche macht sich mit den Sicherheitslösungen vertraut und der IT-Sicherheitsverantwortliche baut wachsendes Verständnis für die betroffenen Geschäftsbereiche auf. Leicht gesagt, aber in vielen Unternehmen ist man davon noch weit entfernt. Viele Unternehmen und dort angestellte Sicherheitsteams gehen die Themen Security und Cyber-Security sehr defensiv an. Firewalls werden immer höher und höher bis sich die Frage stellt, wie weit die Sicherheitsteams gehen können, bevor das Unternehmen komplett lahmgelegt und lieferunfähig wird. Ein reiner Technologieansatz ist nicht länger zielführend, da dies, wie ausgeführt, nicht das Verständnis der Geschäftsbereiche umfasst. Die IT-Abteilung stellt Werkzeuge und Lösungen (Technologien) zur Verfügung und unterstützt deren Anpassung an die Bedürfnisse der Geschäftsbereiche. Die Ein Bewusstseinswandel hin zu Prävention und pro-aktiver Bearbeitung des Themas Sicherheit ist im Gange. Auf den Ernstfall vorbereitet sein, auch wenn er noch so absurd oder in weiter Ferne erscheint ist wichtig Discovery, Response, Recovery heißt die Marschroute.
9 FAZIT Cyber-Security ist keine einmalige, sondern eine Daueraufgabe. Es geht nicht nur um Prävention, sondern auch um die Compliance, um im Ernstfall professionell und zielführend reagieren zu können. Zunächst wird die Überprüfung des Status Quo, ein Sicherheits-Audit, empfohlen. Anschließend sind die Erkenntnisse zu analysieren und umzusetzen. Dabei sind drei wesentliche Sicherheitsfragen zu beachten: Ein neuer Ansatz zu (Cyber-) Security wird benötigt, der von einer gemeinsamen Unit aus Business- Verantwortlichen und IT ausgeht, die Business Security in einem praktikablen, pragmatischen und realistischen Ansatz betreibt. Das Ziel ist keine Utopie der zukünftigen Security- Best-in-Class - Lösung dafür dreht sich die Security-Welt viel zu schnell sondern die Fokussierung auf die richtigen nächsten Schritte einer Business Security-Strategie. DREI KERNFRAGEN ZUR SECURITY Derzeitiger Security- Status in der Firma? Wie können wir sicher sein, dass wir in der Gesamtbreite unserer Unternehmung abgesichert sind, und wir trotzdem keine Einschränkungen im Tagesgeschäft in Kauf nehmen müssen? Gibt es bekannte Sicherheits- Problemfelder? Wie können wir dabei die ganzen, ständig wachsenden regulatorischen und prüfungsrelevanten Anforderungen aufnehmen? Effektivität und Einsatz des internen Sicherheitsteams Wie kann unser Unternehmen weiterhin innovativ agieren und neue Technologien einsetzen, ohne Kompromisse bei Sicherheit und Compliance eingehen zu müssen? Quelle: AlixPartners
10 Andreas Rüter ist Managing Director bei AlixPartners Deutschland und verantwortlich für den Bereich Information Management Services mit Fokus auf technologie-intensive Industrien. Er verfügt über mehr als 20 Jahre Erfahrung als Berater, Investor und Manager in Telekommunikations-, IT-, Hightech- und Internet-Firmen. Er hat viele QuickStrike - Projekte, inklusive Security-Fragestellungen, geleitet, in denen es um ein Assessment der Leistungsfähigkeit, aber auch des Risikogrades von Unternehmen ging. Joachim Winterstein ist Director bei AlixPartners Deutschland im Bereich Information Management Services mit dem Schwerpunkt Telekommunikation, Medien & Internet sowie Private Equity. Er verfügt über profunde Branchenerfahrung als Manager in diesen Industrien und als Berater in großen Business Transformation-Projekten, Unternehmens- und IT-Strategie, Reorganisation & Konsolidierung, IT-Outsourcing und Vertriebsoptimierung. Er begleitete Startups im Telekommunikations- und Social Media-Bereich und ist Mitgründer eines m-commerce Startups. Kontakt: arueter@alixpartners.com oder: Tel. +49 89 20 30 40-08 Kontakt: jwinterstein@alixpartners.com oder: Tel. +49 211 97 55 10 49 AlixPartners steht als global tätiges Beratungsunternehmen für die ergebnisorientierte Unterstützung namhafter Unternehmen in komplexen Restrukturierungs- und Turnaroundsituationen und die Umsetzung anspruchsvoller Ertragssteigerungsprogramme. Branchenexpertise und weitreichende Erfahrung in Geschäftsprozessen in Verbindung mit tiefgreifendem Know-how der finanziellen und operativen Restrukturierung ermöglichen es AlixPartners, auf Herausforderungen in Konzernen, Großunternehmen sowie bei mittelständischen Unternehmen einzugehen. In zahlreichen Fällen haben erfahrene Manager von AlixPartners bei herausfordernden Unternehmenssanierungen interimistisch Führungsfunktionen übernommen. AlixPartners hat 1.000 Mitarbeiter in weltweit siebzehn Büros und ist seit dem Jahr 2003 mit eigenen Büros in Deutschland vertreten. AlixPartners ist im Web zu finden unter www.alixpartners.de