Programm-Voting

Was läuft gut und was läuft falsch in der IT Security – Success Stories und Holzwege

Bitte warten...

Beschreibung des Vortrages

„Das Problem der Verschlüsselung ist gelöst, denn es gibt ja jetzt die Volksverschlüsselung der Fraunhofer SIT aus Darmstadt“, so erklärte die heutige Wirtschaftsministerin und damalige Staatssekretärin auf dem Polizeikongress am 21.02.2017 in Berlin in einfachen Worten ein durchaus komplexes Thema unter Bezug auf die Lösung aus ihrem Heimatwahlkreis quasi als erledigt. Von der Idee bis zum Schutz von realen Daten oder IT-Systemen gibt es aber sehr viele Stolpermöglichkeiten, die in diesem Vortrag skizziert werden.

Bereits vor über 10  Jahren stellte Dr. Magnus Harlander, Gründer, Gesellschafter und Geschäftsführer, des deutschen Firewallherstellers – genua – fest, dass es zunehmend schwierig wird auf Seite des Kunden, der Bedarfsträger, deren IT-Dienstleister und in deren Beschaffungsprozessen geeignete Strukturen und Know-how zu finden, welches es auf Seite des Kunden ermöglichen die Schutzqualität eines zu kaufenden Systems einzuschätzen, um zu beurteilen, ob es die anstehende Investition für das Unternehmen wert ist. BSI Zertifikate nach Common Criteria erschienen damals noch für ein kleines Marktsegment als geeignete Entscheidungsgrundlage. Auf dem Weg das Geld für das Richtige auszugeben, gibt es wieder viele Möglichkeiten des Irrtums, wofür einige Beispiele gegeben werden.

IT-Sicherheit ist zweifelsohne ein komplexes Thema, da es selten um sichtbare, einfach prüfbare Funktionen und hübsche, ergonomische Oberflächen geht, sondern darum eine höhere Robustheit und einen verbesserten Schutz gegen aktuell bekannte und vorstellbare Angriffe zu erreichen. Der Schutz sollte von allen Beteiligten komfortabel und selbstverständlich wahrgenommen werden – also möglichst ohne Veränderung der Businessprozesse integriert in die Standardverfahren implementiert sein. Weder für den Schutz noch für den Komfort gibt es eine Metrik, wie diese Parameter vergleichbar gemessen werden können. Verschlüsselungen mit 256 bit AES können schlechter sein, als solche mit 128 bit Schlüssellänge, wenn jeder den Schlüssel leicht erraten kann, weil er nicht zufällig gewählt ist. Wie viel Absicht hinter den „schlecht“ gewählten Schlüsseln steckt ist meist nicht beweisbar.

Zertifizierungen, wie CC, bieten eine Hilfestellung, deren Verfahrensweise man aber genau verstehen muss, um die Ergebnisse und deren „Passgenauigkeit für das eigene Einsatzszenario zu beurteilen. Zulassungen beurteilen meist gesamte, genauer definierte Umgebungen und erfordern intensive Prüfungen.

Der Know-how Mangel zur IT-Sicherheit, bzw. der Mangel an Fachkräften ist bekannt. Aktuelle Zahlen gehen davon aus, dass ca. 1% der in der ITK Beschäftigten Spezialwissen in IT-Sicherheit besitzen. Dieser Fachkräftemangel soll zunehmend durch neue Ausbildungsprogramme behoben werden. Es ist also völlig klar, dass der komplexe Entscheidungsprozess „mit welcher verfügbaren Investition erreiche ich den maximalen Schutz“ – also wo bekommt man den besten Schutz für sein Geld, also nicht von jedem durchgeführt werden kann. Je größer das Gremium, welches diese Entscheidung ratifizieren soll, um so schwieriger ist es den Kern der Investition – also den Schutz – in eine verständliche Entscheidungsvorlage zu bringen. Häufig gibt es einen unteren Schwellenwert unterhalb dessen eine Investition mit hoher Wahrscheinlichkeit einfach ergebnislos (also ohne erhöhten Schutz) verpufft. Auch für solche Fälle werden Beispiele gegeben.

In dem Vortrag werden die Fallstricke an Beispielen erklärt und im Einzelnen versucht den handelnden Personen Indikatoren zu geben, wie sie ohne den gesamten komplexen Vorgang zu überblicken trotzdem mit begrenzten Mitteln „effizient und zielorientiert“ handeln können.

Speaker

Ramon Mörl, Geschäftsführer itWatch GmbH

Seit Beendigung seines Informatik-Studiums an der TU München 1987 ist Herr Mörl als Berater in Fragen der IT-Sicherheit tätig. Für Firmen wie HP, IBM, Siemens, ICL und Bull hat er leitende Tätigkeiten in Projekten in Belgien, Deutschland, Frankreich, Italien, Österreich, Schweiz und USA übernommen. Als unabhängiger Evaluator und Berater der Europäischen Union war er vor allem im Bereich der ECMA und ISO-Standards für die IT-Sicherheit tätig. Seit 2002 bringt Herr Mörl die Erfahrung eines kosteneffizienten Einsatzes sicherer IT-Systeme aus internationalen Großprojekten in die itWatch GmbH als Geschäftsführer ein.

Edit post

5. Kölner IT-Security-Konferenz am 22.11.2019

Jetzt Ticket sichern