Koordinierung der IT-Sicherheitsnormung

Transkript

1 Cord Wischhöfer Koordinierung der IT-Sicherheitsnormung Initiativen des DIN IT-Sicherheitsverfahren werden in den internationalen Normungsorganisationen ISO und IEC seit gut 20 Jahren unter der Projektführerschaft des DIN, Deutsches Institut für Normung e. V., genormt. Der Normenausschuss Informationstechnik und Anwendungen (NIA) im DIN stellt dabei den Vorsitzenden des internationalen Normungskomitees ISO/IEC JTC 1/ SC 27 IT Security Techniques und auch dessen Sekretariat. Zusammen steuern diese derzeit mehrere Dutzend Normungsprojekte. Viele wichtige IT-Sicherheitsnormen wurden bisher erarbeitet (siehe DuD 1/2011). Das Erarbeiten von Normen ist in einer Technikwelt, die Aspekte der IT-Sicherheit in einer Vielzahl von Verfahren und Produkten berücksichtigen muss, jedoch nur die halbe Miete. Durch Technikkonvergenz tritt die Branchen und Technologiefelder übergreifende Koordinierung und Auswahl geeigneter Normen in den Vordergrund. So trifft z. B. das Smart Grid oder das Konzept des Mobile Bankings nur dann beim Kunden auf Akzeptanz, wenn neben der klassischen IT-Sicherheit auch Informationssicherheits- und Datenschutzfragen von Anfang an in die Systemarchitektur eingebracht werden. Dieser Beitrag beschreibt die deshalb seit einiger Zeit laufenden Koordinierungsaktivitäten des DIN auf dem Querschnittsgebiet IT-Sicherheitsnormung. 1 IT-Sicherheitsnormung in ISO/IEC JTC 1 ISO/IEC JTC 1/SC 27 IT-Sicherheitsverfahren hat seine Normungsprojekte themenbezogen auf fünf Arbeitsgruppen (WGs) verteilt: WG 1 Information Security Management Systems WG 2 Cryptography and Security Mechanisms WG 3 Security Evaluation and Assessment WG 4 Security Controls and Services Cord Wischhöfer ist seit 1993 Angestellter des DIN e. V. und war seitdem auf verschiedenen IKT-bezogenen Normungsgebieten tätig. Derzeit ist er Geschäftsführer des Normenausschusses Informationstechnik und Anwendungen (NIA) im DIN, der Koordinierungsstelle IT-Sicherheit (KITS) und der Cyber Security Coordination Group (CSCG). cord.wischhoefer@din.de WG 5 Identity Management and Privacy Technologies In den folgenden Absätzen werden zur Konkretisierung der Arbeitsgebiete einige wenige Beispiele zu den Arbeitsinhalten der WGs aufgeführt. Die Arbeiten der WG 1 wurden von Herrn Prof. Humphries in DuD 1/2011 ausführlich beschrieben 1. Hier soll nur erwähnt sein, dass aus dieser Arbeitsgruppe die Normen der ISO/IEC 27000er-Reihe, Informations-Sicherheits-Management-Systeme (ISMS) stammen. In der WG 2 werden vor allem Kryptographie-Normen erarbeitet. Als Beispiel neueren Datums wäre hier z. B. die vierteilige Reihe ISO/IEC Light-weight cryptography unter der Projektführerschaft Deutschlands und Japans zu nennen, die 2011 und 2012 veröffentlicht wurden. In der WG 3 werden z. B. mit ISO/IEC Secure system engineering principles and techniques und ISO/IEC Physical security attacks, mitigation techniques and security requirements stark praxisbezogene Projekte zum vorbeugenden Design von sicheren Systemen gegen Angriffe (auch physikalische) angegangen. 1 Humphreys, Edward, Information Security Management System Standards, DuD 1/2011, S DuD Datenschutz und Datensicherheit

2 ISO/IEC JTC 1/SC 27 hat jüngst auch deutliche Zeichen gesetzt, um mit Normen dem sog. Cyberwar und der wachsenden Internetkriminalität entgegenzuwirken. Ein Beispiel hierfür ist das Projekt ISO/IEC Guidelines for Identification, Collection, Acquisition, and/or Preservation of Digital Evidence (Veröffentlichung für Januar 2013 erwartet). Durch Normungsvorhaben der WG 4 werden Lösungen zu der technischen Frage erarbeitet, wie das Recht sowohl des Einzelnen als auch einer Organisation auf den Schutz von Information vor jeglichem Missbrauch der IT-Systeme methodisch umgesetzt werden kann. Abschließend wäre die WG 5 zu erwähnen, die sich mit Datenschutzfragen und Identitätsmanagement befasst (siehe den Artikel von Herrn Prof. Rannenberg in DuD 1/2011 für mehr Details 2 ). Aufgrund der im Vergleich gesehen völlig unterschiedlichen Herangehensweise an das Thema Datenschutz z. B. in den USA und der EU sind hier die Konsenslinien in der Normungsarbeit nicht immer leicht zu finden Insgesamt sind diese Arbeiten in den letzten Jahren mit steigendem Aufwand verbunden. Die Notwendigkeit von IT-Sicherheitsnormung wird von mehr und mehr ISO- und IEC-Mitgliedsländern erkannt, was dazu führt, dass die Anzahl der aktiv mitarbeitenden Länder auf inzwischen 49 angestiegen ist, die Anzahl der Sitzungsteilnehmer regelmäßig ca. 300 beträgt, 24 ISO/IEC-interne und 29 externe Kooperationen mit Fachorganisationen zu managen sind. Die Führung des Sekretariats von ISO/IEC JTC 1/SC 27 durch den NIA 3 ist natürlich kein Selbstzweck sondern bewirkt eine wesentliche Verbesserung der Einflussmöglichkeiten der deutschen IT-Sicherheitsbranche auf das internationale Normungsgeschehen. Hier ist auch der auch der Grund zu sehen, warum die deutsche IT-Sicherheitsbranche und die Bundesregierung diese Tätigkeiten aktiv unterstützen. Vorsitzender des ISO/IEC JTC 1/SC 27 ist seit nunmehr fünfzehn Jahren Herr Dr. Fumy, Chief Scientist der Bundesdruckerei GmbH in Berlin. 2 Warum Koordinierung? Parallel zur weiten Fächerung der Arbeitsgebiete der IT-Sicherheitsnormung hat der Einzug der Informationstechnik in jeden Bereich des Lebens dafür gesorgt, dass sichere IT-Infrastrukturen und -systeme eine Voraussetzung für das Funktionieren unserer arbeitsteiligen Gesellschaft geworden sind. Hier nun sehen sich die reinen IT-Sicherheitsnormer mit der Situation konfrontiert, dass durch den Erfolg der IT und der IT- Sicherheitsnormung vermehrt die Notwendigkeit besteht, in anwendungsbezogenen Technikbereichen über die vorhandenen IT-Sicherheitsnormen und deren mögliche Anwendungen zu informieren: Im Bankwesen, in der Entwicklung, Herstellung und dem Schutz verschiedenster Produkte, bei Infrastrukturbetreibern, bei Internetdienstleistern, in der Biometrie oder in der Verwaltung. Informieren alleine ist jedoch oft nicht ausreichend, denn die Information über IT-Sicherheitsnormen erreicht zwar Interes- 2 Rannenberg, Kai, ISO/IEC Standardization of Identity Management and Privacy Technologies, DuD 1/2011, S siehe senten in den verschiedenen Branchen, diese erarbeiten aber ggf. branchenspezifische Sicherheitslösungen, deren Kompatibilität mit Lösungen anderer Branchen nicht von vornherein garantiert ist. Angesichts gesellschaftlicher und politischer Forderungen nach übergreifender, vernetzter Sicherheit sind branchenspezifische Insellösungen im Bereich der IT-Sicherheit oft nicht akzeptabel. Bei Querschnittsnormungsthemen, die mehrere Branchen (= Normenausschüsse) betreffen, müssen also auch noch die branchenspezifischen Normungsaktivitäten untereinander koordiniert werden. Welche Herausforderung darin liegt, interoperable Lösungen für komplexe technische Zusammenhänge zu finden, führten erstmals die Anstrengungen vor Augen, eine koordinierte Normeninfrastruktur im Bereich Smart Grid zu erstellen. Ohne die Koordination durch das vom DIN-Präsidialausschuss für IKT- Fragen (FOCUS.ICT) eingerichtete und von der DKE in Frankfurt betriebene Kompetenzzentrum E-Energie wäre die Erreichung dieses Ziels nicht denkbar gewesen. Auch die Notwendigkeit einer Koordinierung der Normungsarbeit im Sektor IT-Sicherheit wurde im Zusammenhang mit dem Thema Smart Grid offenbar. Deshalb hat das DIN auf Initiative von FOCUS.ICT eine Koordinierungsstelle IT-Sicherheit (KITS) eingerichtet, die sicherstellt, dass bislang unkoordiniert ablaufende Normungsaktivitäten verschiedenster Technikbereiche zu diesem Thema gebündelt und sinnvoll vernetzt werden. Aber auch auf europäischer und internationaler Ebene hat das DIN Initiativen gestartet, um mehr Struktur und mehr Koordination zu erreichen. 3 Ebenen der Arbeit Wie in der Normung allgemein üblich kann man auch bei den Koordinierungsarbeiten drei Ebenen unterscheiden: Die nationale Ebene, also die Ebene des DIN, auf der die deutschen Interessen gebündelt und deutsche Initiativen gestartet werden, um die darüber liegenden supranationalen Ebenen zu beeinflussen Die europäische Ebene, also die der drei europäischen Normungsorganisationen ETSI (Telekommunikation), CENELEC (Elektronik und Elektrotechnik) und CEN (alle anderen Technikbereiche). Hier spielen auch die Aktivitäten der EU-Kommission und des EU-Parlaments eine wichtige Rolle Die internationale Ebene, auf der ISO (IKT-Normung), IEC (Elektronik und Elektrotechnik) und ITU (Telekommunikation und Funk) als die drei formalen Normensetzer agieren Auf allen drei Ebenen hat das DIN sich der Aufgabe angenommen, die Normung zum Thema IT-Sicherheit, Informationssicherheit und Datenschutz zu koordinieren. 3.1 Nationale Ebene Koordinierungsstelle IT-Sicherheit (KITS) Seit 2011 unterhält das DIN eine Koordinierungsstelle für IT-Sicherheit (kurz: KITS), deren Arbeit von einem Fachbeirat begleitet wird, der die inhaltlich-fachliche Ausrichtung der Arbeiten der KITS begleitet und steuert und in dem die relevanten an IT- Sicherheitsnormung und -standardisierung interessierten Kreise vertreten sind. DuD Datenschutz und Datensicherheit

3 Neben einer Reihe von DIN Normenausschüssen (DKE, NA- Med, NIA) arbeiten in der KITS folgende Organisationen mit: BDB, BfDI, BITKOM, BNetzA, BSI, Darmstadt University of Technology, GESI Institut, Goethe Universität Frankfurt, Handwerkskammer Rheinhessen, Hochschule für Wirtschaft und Recht Berlin, KVB Bayern, Klinikum der Universität Regensburg, PTB, TeleTrusT, Universität Hamburg, Universität Siegen, VDMA, Verbraucherrat (VR) im DIN, ZVEI. Das Ziel der KITS besteht darin, die für die deutschen Interessierten Kreise relevanten, branchenübergreifenden und branchenspezifischen Standardisierungsaktivitäten, die es auf nationaler, europäischer und internationaler Ebene im Bereich der IT- Sicherheitstechnik und verfahren gibt, darzustellen und zu koordinieren. Wesentlich ist dabei die Erschließung von Harmonisierungspotenzialen. Das Genannte bezieht sich auch auf das Management der Informationssicherheit und den Datenschutz. Die KITS fördert die Kommunikation mit auf dem Gebiet der IT- Sicherheit arbeitenden anderen Regelsetzern (Verbände, Vereine, Behörden) mit dem Ziel, deren Arbeiten gegebenenfalls sowohl bei den KITS-eigenen Aktivitäten zu berücksichtigen als auch im Sinne der Normung zu beeinflussen. Zu den Aufgaben der KITS gehören: Koordinieren von Tätigkeiten unterschiedlicher Akteure (Normenausschüsse, Verbände, Experten, Behörden) die im Bereich IT-Sicherheit branchenspezifische Normen und Standards entwickeln Aufbereiten der gesetzlichen Anforderungen auf nationaler und europäischer Ebene. Hierzu zählt auch die Spiegelung der Arbeiten der CEN-CENELEC-ETSI Cyber Security Coordination Group (siehe folgenden Abschnitt) Beraten von Normenausschüssen bei der Entwicklung von Normen mit IT-Sicherheitsrelevanten Festlegungen (z. B. Smart Grid, Medizinische Informatik, Telematik, M-Banking) Erstellen und Pflegen eines Verzeichnisses aller IT- und Informations-sicherheitsrelevanten Normungsvorhaben, die von Bedeutung für die deutschen Interessierten Kreise sind Bewerben dieses Verzeichnisses in den Normungsgremien zur Vermeidung von Doppel-oder Mehrarbeit Durchführen und Unterstützen von Workshops, Konferenzen und Tagungen zum Thema IT-Sicherheit und Normung Das genannte Verzeichnis aller IT-Sicherheitsrelevanten Normungsvorhaben und Normen wird voraussichtlich bis Ende des Jahres 2012 auf der Webseite der KITS veröffentlicht werden. 4 Als zentrale Felder mit dem höchsten Handlungsbedarf hat die KITS folgende anwendungsbezogene Technikbereiche identifiziert: IT-Sicherheit in der industriellen Produktion IT-Sicherheit in Energieversorgung / Smart-Grid / kritische Infrastrukturen IT-Sicherheit bei Finanzdienstleistungen IT-Sicherheit in der Medizintechnik Übergreifend: Datenschutz und Informationssicherheit Auf diese Vorarbeit aufbauend plant die KITS im Jahr 2013 eine erste Version einer Normungsroadmap IT-Sicherheit zu veröffentlichen, die sowohl noch vorhandene Lücken im Normenwerk identifiziert als auch Empfehlungen ausspricht, wie diese zu schließen wären. Folgende Workshops zu IT-Sicherheitsrele- 4 siehe vanten Themen wurden als öffentlichkeitswirksame Maßnahmen der KITS bisher durchgeführt: Workshop zu E-Mobilität und IT-Sicherheit Workshop Datenschutznormung in Zusammenarbeit mit dem ULD Schleswig Holstein Gründungsvorsitzender der KITS war Herr Prof. Rumpel, Hochschule für Wirtschaft und Recht Berlin. Ihm folgte im September 2012 Herr von Sommerfeld nach, der zugleich auch Obmann des NIA-Arbeitsausschusses zu IT-Sicherheitsverfahren ist. 3.2 Europäische Ebene Cyber Security Coordination Group (CSCG) Internationale und Europäische Normungsaktivitäten auf dem Gebiet der IT-Sicherheit, Cyber-Sicherheit sowie Verhinderung und Entdeckung von Cyber-Verbrechen finden in vielen unterschiedlichen Normungskomitees und Arbeitsgruppen statt. Eine Harmonisierung und Koordinierung der Arbeiten der drei Europäischen Normungsorganisationen CEN, CENELEC und ETSI hat positiven Einfluss auf den Fortschritt und die Ergebnisse der Normungsanstrengungen aller Beteiligten auf europäischer aber auch internationaler Ebene. Deshalb wurde auf Initiative des DIN im Dezember 2011 die CEN-CENELEC-ETSI Cyber Security Coordination Group (CSCG) gegründet. Motiviert wurde die Einrichtung dieses Beratungsgremiums auch durch das steigende Bedrohungspotential, das Angriffe über das Internet z. B. auf kritische Infrastrukturen (wie das Stromnetz) beinhalten. Sowohl die Europäische Kommission als auch die US-Regierung stehen im Begriff, gesetzgeberisch tätig zu werden, um Unternehmen und Behörden zu klareren Regeln und Maßnahmen zum Schutz vor Cyberattacken zu bewegen bzw. zu zwingen. Da aber solche Maßnahmen nur wirksam sein können, wenn Gesetzgeber und Regierungen auf der einen und Privatunternehmen auf der anderen Seite zusammenarbeiten, liegt der Gedanke nahe, den Konsens über wichtige Teilaspekte des Schutzes vor Cyberattacken durch Normung herzustellen. Zu erwähnen ist, dass die CSCG auch mit anderen Normungsorganisationen, zunächst z. B. mit ANSI und NIST, zu dem Thema Cyber- Security zusammenarbeiten wird, um den internationalen Normungsdialog anzustoßen und die Gesetzgeber auf beiden Seiten des Atlantiks besser zu beraten. Konkret hat die CSCG folgende Aufgaben: Beratung der technischen Lenkungsgremien CEN/CENELEC and ETSI zu Fragen der Cyber-Sicherheit Analyse bestehender Europäischer und Internationaler Normen und Spezifikationen zur Cyber-Sicherheit Definition gemeinsamer europäischer Anforderungen an Normen zur Cyber-Sicherheit Erarbeitung einer Normungsroadmap zur Cyber-Sicherheit unter Berücksichtigung von Mandaten der EU-Kommission Bereitstellung eines Kontaktpunkts für Anfragen der EU Institutionen zum Thema Normung und Cyber-Sicherheit Kooperation mit Normungsinstituten der Vereinigten Staaten (ANSI, NIST) und anderer Länder, die im gleichen Fachgebiet arbeiten Erarbeitung eines Vorschlags für eine gemeinsame US/EU- Strategie zur Erstellung eines Rahmenwerks Internationaler Normen zur Cyber-Sicherheit 32 DuD Datenschutz und Datensicherheit

4 Koordinierung europäischer Aktivitäten auf der Internationalen Normungsebene mit dem Ziel der Umsetzung der vorgenannten Transatlantischen Strategie Das erste konkrete Arbeitsergebnis der CSCG wird eine Aufstellung der aus Normungssicht wichtigsten Bedrohungen der Cyber-Sicherheit und des Gefährdungspotentials sein. Zudem sollen die wichtigsten branchenspezifischen (also vertikalen) und querschnittlichen (also horizontalen) Bedrohungen der Cyber-Sicherheit herausgearbeitet werden. Aus diesen Prioritätensetzungen werden sich dann weitere Arbeiten ableiten. Vorsitzender der CSCG ist Dr. Christian Ehler, MdEP aus Brandenburg. Das Sekretariat liegt beim DIN. Die Spiegelung der Aktivitäten der CSCG auf deutscher Seite übernimmt die Koordinierungsstelle IT-Sicherheit (KITS). 3.3 Internationale Ebene ISO Privacy Steering Committee (ISO/TMB/PSC) Mit diesem Abschnitt schließt sich in gewisser Weise der Kreis, der mit der Beschreibung der Arbeiten des ISO/IEC JTC 1/SC 27 zu Anfang dieses Artikels begonnen wurde. Denn nicht nur das Grundlagenkomitee für IT-Sicherheitsverfahren erarbeitet in seiner WG 5 Normen zum Thema Datenschutz und Identitätsmanagement. Auch andere ISO-Normungskomitees sind derzeit anwendungsbezogen mit der Thematik befasst. Aufgrund dieses Umstands hat das Technische Lenkungsgremium der ISO (Technical Management Board (TMB)) auf Vorschlag Kanadas 2009 die Einrichtung eines Privacy Steering Committee (PSC) beschlossen. Das PSC hatte die Zielsetzung, die Normungsaktivitäten innerhalb der ISO und in ISO/IEC JTC 1 Information technology auf einen gemeinsamen Nenner hinsichtlich normungsbezogener Fragen des Datenschutzes zu bringen. Aufgrund der Federführung Deutschlands in ISO/IEC JTC 1/ SC 27/WG 5 Identity Management and Privacy Technologies übernahm das DIN die Organisation der Arbeiten des PSC. Geleitet wurde das Gremium von Herrn Messer, IBM Deutschland und Mitarbeiter des NIA-Arbeitsausschusses zu IT-Sicherheitsverfahren. Folgende ISO-Mitgliedsländer nahmen an den Arbeiten Teil: China, Deutschland, Frankreich, Kanada, Republik Korea, Malaysia, Schweden, Spanien, Südafrika, Vereinigtes Königreich und Vereinigte Staaten. Außerdem haben zahlreiche Komitees der ISO und des JTC 1 im PSC mitgearbeitet z. B: ISO/TC 68/SC 7 -- Financial services Sub-committee 7 Core banking ISO/TC Processes, data elements and documents in commerce, industry and administration ISO/TC Intelligent transport systems ISO/TC Health informatics ISO/TC Fraud countermeasures and controls ISO/IEC JTC 1/SC IT Security techniques ISO/IEC JTC 1/SC 27/WG 5 -- Identity management and privacy technologies ISO/IEC JTC 1/SC Automatic identification and data capture techniques ISO/IEC JTC 1/SC Data management and interchange Anfang 2012 wurde der Abschlussbericht des PSC dem ISO Technical Management Board übergeben. Dieser enthielt neun detaillierte Empfehlungen wie das Thema Privacy in ISO und ISO/IEC- Normen besser verankert werden kann. Vom ISO/TMB angenommen wurden Normungsarbeiten vorbereitende Untersuchungen zu den folgenden Themen (und zwar hauptsächlich im ISO/TC 68 und ISO ISO/IEC JTC 1/SC 27 sowie deren Untergruppen, wo es bereits normative Vorarbeiten gibt): Privacy Impact Assessment (PIA) Privacy Management System Standard (PMS) Guideline on data deletion Standards for Privacy Seal Programs Zudem wurden Maßnahmen ergriffen, um das Thema Privacy by Design an geeigneter Stelle bei den Norm-Gestaltungsregeln (ISO/IEC Direktiven Teil 2) zu berücksichtigen. Im Februar 2012 wurde das Privacy Steering Committee nach der Erfüllung seines Arbeitsauftrags vom ISO/TMB aufgelöst. 4 Und der Nutzen? Die vielfältigen Aktivtäten, die in den vorhergehenden Abschnitten aufgeführt wurden, bedeuten für alle Akteure einen nicht unerheblichen zeitlichen und finanziellen Aufwand. Noch mehr Aufwand würde es jedoch nach sich ziehen, (bildlich gesprochen) die Zügel aus der Hand zu legen und den Dingen ihren Lauf zu lassen. Wie schon weiter oben geschrieben: Sichere, interoperable und offene Lösungen für komplexe technische Zusammenhänge zu finden, die mehrere Wirtschaftssektoren überspannen, den Wettbewerb nicht behindern und Verbraucherinteressen (z. B. aus Gründen der Akzeptanz von Produkten und Dienstleistungen) berücksichtigen, ist keineswegs trivial. Normen bilden hierbei einen wichtigen Erfolgsfaktor zum Gelingen des Vorhabens. Das Unterlassen der Koordination würde dazu führen, dass Energie, die für das Erstellen von Normen und Spezifikationen aufgebracht wird, Gefahr läuft verschwendet zu sein. Denn ohne eine Koordination entstehen möglicherweise hohe Risiken für die Investitionssicherheit von Unternehmen, die normbasierte Technologie auf den Markt bringen. Der Nutzen der Koordination liegt vornehmlich also in der Vermeidung von Blindleistung und Verringerung von (wirtschaftlichem) Risiko. 5 Ein kurzer Seitenblick über den IKT-Tellerrand Dieser gesamte Artikel befasst sich mit der Koordination von Normung auf dem Gebiet IT-Sicherheit (inkl. Informationssicherheit und Datenschutz). Die Welt ist aber bei diesen Security -Fragen nicht zu Ende. In der realen Welt, in Wirtschaft und Gesellschaft spielt Sicherheit im Sinne von Safety eine ebenfalls sehr große Rolle. Einige wenige Stichworte machen die Spannweite Safety-bezogener Arbeiten deutlich: Feuerwehrwesen Rettungswesen Krankenversorgung Katastrophenschutz, -warnung und Alarmsysteme Sicherheit der Bürger Sicherheit der Grenzen Sicherheit der Versorgungsnetze DuD Datenschutz und Datensicherheit

5 Sicherheit kritischer Infrastrukturen Sicherheitsdienstleistungen Zertifizierung von Sicherheitssysteme Versicherungswirtschaft Smart Cities Der Markt der Sicherheitswirtschaft ist in den letzten zehn Jahren deutlich gewachsen. Auch in diesem Bereich findet natürlich Normungsarbeit statt. Die EU-Kommission startet Konsultationen im Rahmen des Forschungsrahmenprogramms Horizon 2020 zum Thema Secure Societies. Resultat solcher Untersuchungen waren in der Vergangenheit oftmals Aufträge (Mandate) der EU-Kommission an CEN, CENELEC und ETSI, Normen zu dem Thema zu entwickeln. Um diesem ausgesprochen komplexen Gebiet gerecht zu werden und die Normungsarbeiten zu koordinieren, hat das DIN in Kooperation mit den o. g. interessierten Kreisen im Jahr 2011 die Koordinierungsstelle Sicherheitswirtschaft (KoSi) gegründet. Parallelen zur KITS sind nicht zufällig. Anknüpfungspunkte gibt es viele. Beide Koordinierungsstellen arbeiten eng zusammen. 6 Ausblick Das Schöne an Normen, Standards und Spezifikationen ist, dass es so viele davon gibt. Mit diesem Bonmot eines unbekannten Normers, das auf den IKT-Sektor und den IT-Sicherheitssektor in besonderem Maße zutrifft, ist eigentlich schon alles gesagt: Die Erstellung von Grundlagennormen und -spezifikationen für viele Aspekte der IT-Sicherheit, z. B. in ISO/IEC JTC 1/SC 27, anderen ISO-Komitees oder auch in Konsortien, wird weiterhin wichtig sein. In einer immer weiter vernetzten Welt gewinnen jedoch die Fragen wer welche Spezifikationen, für welchen Zweck, in welchem System einsetzt und welche Folgen dies für andere Anwender am alles verbindenden Netzwerk hat, zunehmend an Bedeutung. Diese Fragen kann man nur zufriedenstellend beantworten, wenn die betroffen Industrien und anderen Stakeholder sich gemeinsam auf grundlegende Vorgehensweisen einigen. Das Durchdrücken einer Lösung durch einen Marktteilnehmer mit überwältigender Position am Markt wird zunehmend schwerer. Die Koordination von Normungstätigkeiten wird also weiterhin an Bedeutung gewinnen müssen, wenn die durchgängige Sicherheit komplexer, offener IKT-Systeme gewährleistet werden soll. 34 DuD Datenschutz und Datensicherheit