Programm-Voting

WORKSHOP: „Komplexität der IT Security meistern“- Was sind die Aufgaben der einzelnen handelnden Gruppen bisher, jetzt und in Zukunft?

Bitte warten...

Beschreibung des Vortrages

Viele Behörden, Nutzer, aber auch die IT-Sicherheitshersteller in Deutschland beklagen einen Fachkräftemangel bei vielen Positionen, die sich während der gesamten Prozesse (z.B. Plan, Build, Run) mit IT-Sicherheit beschäftigen. Häufig ist zu hören „IT-Sicherheit ist nicht alles, aber ohne IT-Sicherheit ist alles nichts“. Bereits in der „klassischen“ Bürokommunikations-IT ist das Thema IT-Sicherheit sehr querschnittlich aufgestellt und betrifft jede ITK-Plattform und die darauf laufenden Anwendungen. In der Tat wird bei den „neueren“ Themen und Technologien wie Cloud, Industrie 4.0, Outsourcing, autonomes Fahren und vielen anderen Themen die IT-Sicherheit als wesentlicher Faktor genannt und ist „mehrfach querschnittlich“. Es entsteht also noch eine weitere Diversifikation im Segment „Cyber Sicherheit“, wodurch die Gesamtbetrachtung „wie sicher ist das System“ noch komplexer wird. Der Fachkräftemangel ist zum großen Teil auch hausgemacht, weil es keine tragfähigen Vertrauensketten gibt und in der Konsequenz jede Organisation versucht das gesamte Spektrum an Know-how selbst abzubilden – in großen Organisationen z.T. sogar jeder einzelne Bereich.

Die Durchdringung des Alltags mit IT nimmt immer stärker zu – die Digitalisierung ist sogar zum politischen Ziel erklärt. Überall ist IT in Form von Hard-, Firm- und Software verbaut – die Nutzung wird immer intensiver. Kostendruck lastet auf allen Prozessen. Vernetzung von Systemen schafft geringere Kosten, da notwendige Services inkl. Update und Patching ortsunabhängig ohne Reisekosten erbracht werden und dadurch die Fachkräfte besser ausgelastet werden: Vernetzte Systeme müssen komplexere Angriffsvektoren berücksichtigen. Die Komplexität nimmt also noch zu. Um diese Komplexität zu reduzieren werden in dem Workshop verschiedene Hilfsmittel angeboten, die z.B. den Begriff der Vertrauenskette einbeziehen. Außerdem wird dargestellt, wie man mit diesen Verfahren im täglichen Umfeld umgehen kann.

Geeignete Vertrauensketten sind eine gute Lösung für den aktuellen Engpass der Know-how Ressourcen. Eine Vertrauenskette muss, um es einem Fachmann zu ermöglichen sich von ihrer Robustheit zu überzeugen, zumindest in fünf Dimensionen vollständig und nachweisbar sein: Technik, Organisation, Rechtssicherheit, Haftung und Lieferkette. Technik ist eigenständig schon sehr komplex – hier wird unten die „Handlungskette“ als technisches Element eingeführt und eingehend bezüglich ihrer Verwendung zur Beurteilung von technischen Verfahren diskutiert. Weiterhin in der Betrachtung sind der „letzte Meter“, die Inhalte einer Sicherheitslösung – also was ist in dieser Lösung verbaut und woher kommt es –

(diese haben in der Vergangenheit immer wieder einige Schwachstellen mitgebracht) und die Betrachtung der Schnittstellen zwischen den Sicherheitslösungen. Unter Organisation ist mehr zu verstehen als nur eine Sicherheitsrichtlinie, die aufgeschrieben wird und mit asynchronen Security-Awareness-Maßnahmen versucht, den Anwender mit in die Verantwortung einzubinden. Die Organisationseinbindung muss alle Elemente der Sicherheitsrichtlinie entweder technisch umsetzen oder in Echtzeit in konkrete Handlungsanweisungen, die der Anwender versteht, “übersetzen”. Zwingend gehört auch das Monitoring des Verbotenen zur organisatorischen Einbettung, wenn das Verbotene aus anderen Gründen nicht vollständig geblockt werden kann – natürlich nach rechtlicher Würdigung und Absprache mit der Personalvertretung. Rechtssicherheit entsteht erst, wenn die verschiedenen Rechtsräume, die Anwendung finden sich in den wesentlichen Fragen widerspruchsfrei überlagern. Die Überlagerung kann durch verschiedene Orte der Datenhaltung aber auch durch unterschiedliche Orte der Produktion, bzw. dem Hauptsitz der legal Entity, von Teilen der Lösung entstehen. Zurzeit ist kaum eine Haftung für die Robustheit der Einsatzziele gegeben. Die Lieferketten sind nicht nur bezüglich der Rechtssicherheit und Haftung eine wesentliche Komponente zur Einschätzung der Robustheit.

Speaker

Ramon Mörl, Geschäftsführer itWatch GmbH

Seit Beendigung seines Informatik-Studiums an der TU München 1987 ist Herr Mörl als Berater in Fragen der IT-Sicherheit tätig. Für Firmen wie HP, IBM, Siemens, ICL und Bull hat er leitende Tätigkeiten in Projekten in Belgien, Deutschland, Frankreich, Italien, Österreich, Schweiz und USA übernommen. Als unabhängiger Evaluator und Berater der Europäischen Union war er vor allem im Bereich der ECMA und ISO-Standards für die IT-Sicherheit tätig. Seit 2002 bringt Herr Mörl die Erfahrung eines kosteneffizienten Einsatzes sicherer IT-Systeme aus internationalen Großprojekten in die itWatch GmbH als Geschäftsführer ein.

Edit post

5. Kölner IT-Security-Konferenz am 22.11.2019

Jetzt Ticket sichern