Was läuft gut und was läuft falsch in der IT Security?

Ähnliche Dokumente
Ihre Sicherheit unsere Mission

Ihre Sicherheit unsere Mission

Ihre Sicherheit unsere Mission

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

Cyber-Sicherheit. Maßnahmen und Kooperationen. Marc Schober BSI Referat C23 - Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision

Ihre Sicherheit unsere Mission

SAP Penetrationstest. So kommen Sie Hackern zuvor!

Internet, Datennetze und Smartphone

Deutschland auf dem Weg zur digitalen Souveränität

Daniel Schalberger, SySS GmbH 1. Typische Schwachstellen im Online-Handel, Prävention. Dipl. Inform. Daniel Schalberger, Syss GmbH

VDE CERT Was ist ein Response Team?

Moderne Beschaffung mit Berücksichtigung von IT Security

Was sind die größten IT-Sicherheitsherausforderungen?

Cybersicherheit im Sektor Wasser. Silke Bildhäuser, B.Sc. Bundesamt für Sicherheit in der Informationstechnik

Live Hacking. Einblicke in die Methoden der Hacker und Was Sie zum Schutz Ihres Unternehmens tun können.

Viren-Terror im Zeitalter von E-Health:

KASPERSKY INTERNET SECURITY 2011 UND KASPERSKY ANTI-VIRUS 2011 COPY POINTS

Der modernisierte BSI IT- Grundschutz Baustein für Datenbanken. Manuel Atug, Senior Manager

Fernwartung, was kann da schon schiefgehen? Erfahrungsberichte aus dem BSI

BSI IT-Grundschutz in der Praxis

Compliance mit der DSGVO Stand der Technik - Wie gehen wir mit Artikel 32 der DSGVO um?

Ihre Sicherheit unsere Mission

Allianz für Cyber-Sicherheit

ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

IT Sicherheit aus der Cloud. Peter Neumeier, Head of Channel Germany

Webinar: UC-Sicherheitsbedrohungen für Ihr Unternehmen? Kein Problem!

Cybersecurity 4.0 Schutz vor den Bedrohungen von heute und morgen. Markus Grathwohl Senior Corporate Account Manager

Das IT Sicherheitsgesetz kritische Infrastrukturen im Zugzwang. - Made in Germany

Cyber Security der Brandschutz des 21. Jahrhunderts

Moderne APT-Erkennung: Die Tricks der Angreifer

Maritime Cyber Risk Management Seeschifffahrtssicherheitskonferenz 2017

Status Quo zur Sicherheit Eine Sichtweise

Hacking und die rechtlichen Folgen für die Geschäftsleitung

Cyber Crime ein Hype oder ständiger Begleiter?

Deutsche Wirtschaft erwartet klare Führung bei IT- Sicherheit & Digitaler Souveränität

Wie kann sich die Schweiz gegen Cyberrisiken besser schützen. 27. Symposium für präklinische und kritische Notfallmedizin 18.

Security Einfach Machen

Cybersecurity Minimale Vorkehrungen grosse Wirkung

Zertifikat. Zertifizierungsbericht. SCA-85 (Einwegfunktion) Siemens Nixdorf Informationssysteme AG

Mythen der WP-Sicherheit

Vortrag am Sichere IT-Produkte. Produktzertifizierung für den Bereich Internet of Things und Industrial IoT

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Einstieg in die Cybersicherheit: Introduction to Cybersecurity und Cybersecurity Essentials

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Medizintec. CE-Kennzeichnung. Risikomanagement POSITION. Zweckbestimmung. systemweite Aufgabe. Positionspapier Medizintechnik braucht Cybersicherheit

Wirkung von IT-Sicherheitsmaßnahmen Die neue Herausforderung

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

Gesamtstaatliche Cyber- Security-Initiativen

Janotta und Partner. Digitalisierung

Schützen Sie Ihre Fertigung

Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001

Allianz für Cyber-Sicherheit

Sichere IT-Produkte. Vortrag am Produktzertifizierung für den Bereich Internet of Things und industrial IoT

CIR, Weißbuch und Sicherheitsstrategie - Planung der Bundeswehr für den Cyberspace

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Internetkriminalität im Mittelstand - die tägliche Realität? Sicherheit im Netz für KMUs

SIWECOS KMU Webseiten-Check 2018

Security Einfach Machen

Informationssicherheit in der Rechtspflege. Chancen, Herausforderungen, praktische Lösungen

Datenschutz in Zeiten der Digitalisierung

Haben wir ein Problem, Mission Control?

NATIONALES IT-SICHERHEITSGESETZ? UNS ALS KOMMUNE BETRIFFT DAS DOCH NICHT!

MEHR KONTROLLE, MEHR SICHERHEIT. Business Suite

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg,

Janotta und Partner. Projekt DEFENSE

Workshop zu Praxisfragen des IT-Sicherheitsrechts

EU DSGVO Umsetzung im Unternehmen:

eco Verband der deutschen Internetwirtschaft e.v. Arbeitskreis Sicherheit

Ihre Sicherheit unsere Mission

Meine Daten verschenke ich nicht Live Hacking. Wie sicher sind Daten auf meinem Computer und Smartphone? CYBER SECURITY

Der mobile Mitarbeiter und dessen Absicherung

Ketzerische Gedanken zur IT- Sicherheit. Dr. Nabil Alsabah Bereichsleiter IT-Sicherheit, Bitkom

DKE Innovation Campus 2017

Voll-integrierte IT-Sicherheit Made in Germany. CenterTools 2015

Hack-Backs und Active Defense Technische Implikationen und Herausforderungen

Erkennung von Angriffen auf Industrieanlagen Alternative Ansätze vs. Methoden der Office-IT

Digitalisierung / Industrie 4.0 Zertifizierung von IoT-Devices

Sie werden angegriffen. Erleben Sie nun Ihre Reaktion.

Allianz für Cyber-Sicherheit

IT-Sicherheit für KMUs

Grundlagen des Datenschutzes. Musterlösung zur 7. Übung im SoSe 2008: Vergleich Fehlerbaum und Angriffsbaum

Cyber-Sicherheit in der Wirtschaft

Cyber defense. ZKI Frühjahrstagung Frankfurt (Oder), 8. März 2016 Dr. Bernd Eßer

Grundlagen des Datenschutzes und der IT-Sicherheit

Datenschutz Forum Schweiz. SuisseID

Agenda 2019 für Service Management: Integration mit Datenschutz macht den Unterschied

CYBERSECURITY UND TESTING. Swiss Testing Night

Cybersicherheitsstrategie des Landes Niedersachsen

Aktuelle Bedrohungen im Umfeld von Industrie 4.0

CERT - das wirklich wahre Leben. 23. Oktober 2018 Christoph Damm

Technische Richtlinie BSI TR-03109

Übersicht über die IT- Sicherheitsstandards

Carsten Eilers Der erste Cyberwar hat begonnen

IT-Sicherheit im Spannungsfeld

Sicherheit in der IT, alles fängt mit einem sicheren Passwort an

IT Security in der Praxis. Datensicherheit, Einbruchssicherheit, Rechtssicherheit. Carsten Fischer (Produkt Management)

Transkript:

Was läuft gut und was läuft falsch in der IT Security? Success Stories und Holzwege für 2017 23. November 2017 Köln 2

Kurzvorstellung Ramon Mörl 30 Jahre Erfahrung als Berater in der IT-Sicherheit Leitende Tätigkeiten in Projekten für Firmen wie HP, IBM, Siemens, ICL und Bull in Belgien, Deutschland, Frankreich, Italien, Österreich, Schweiz und USA Als unabhängiger Evaluator und Berater der Europäischen Union vor allem im Bereich der ECMA und ISO-Standards für die IT-Sicherheit tätig Seit 2002 Geschäftsführer der itwatch GmbH 3

Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen

Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen

Politischer Wille Koalitionsvertrag der letzten Legislatur: Digitale Souveränität, Mehr Sicherheit für KMU Sicherheitsgesetz mehr Sicherheit für Kritische Infrastrukturen Brigitte Zypries auf dem Polizeikongress: Verschlüsselung ist gelöst, Volksverschlüsselung der Fraunhofer SIT in Darmstadt 30 Mio BMBF Gelder für Forschung für mehr IT- Sicherheit 6

Digital first, Bedenken second Quelle: https://www.it-zoom.de/mobile-business/e/digital-first-bedenken-second-17640/ 7

Schutz im Cyberraum "Die Gewährleistung von Freiheit und Sicherheit zählt zu den Kernaufgaben des Staates. Dies gilt auch im Cyber-Raum. Aufgabe des Staates ist es daher, die Bürgerinnen und Bürger und Unternehmen in Deutschland gegen Bedrohungen aus dem Cyber-Raum zu schützen, sowie Straftaten im Cyber-Raum zu verhindern und zu verfolgen." Quelle: BMI Strategie Papier S. 8 8

Deutschland und der Cyberraum Quelle: https://www.bundeswehrkarriere.de/it/cyber-und-it-faehigkeiten-der-streitkraefte 9

Cybersicherheit bei der Bundeswehr "Auch die Bundeswehr muss ihren Beitrag für die Sicherheitsarchitektur in Deutschland ausbauen und sich auf die neuen Bedrohungen aus dem Cyber- und Informationsraum einstellen. "Die Bundeswehr muss daher die eigene Handlungsfähigkeit im CIR sicherstellen und zukünftig einen an Bedeutung zunehmenden Beitrag zur gesamtstaatlichen Sicherheitsvorsorge leisten. "Mit dem Aufbau des militärischen Organisations-bereiches CIR soll der Cyber- und Informationsraum als Operationsraum bzw. militärische Dimension angemessen abgebildet werden. "Ziel ist es, Informationsdominanz im Operationsraum zu erreichen, um Entscheidungsprozesse zu optimieren und Einsatzwirkung zu maximieren." Quelle: http://cir.bundeswehr.de/portal/a/cir/start/ 10

Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen

Success Story IT-Sicherheit Gute Steuereinnahmen Produkt wird mit Venture Kapital gebaut Zertifiziert Marketingkampagne wird gestartet Unternehmen verkauft nach Code aus dem Internet oder aus anderen Quellen wird zu einer Lösung zusammen gebaut, die einen konkreten Angriff verhindert Pflicht zu Patchen Defizit bei Zielgruppe festgestellt (z.b. Bürger) Initiative für Schutz und Haftung für Sicherheit initiiert Maßnahme: IoT Devices müssen patchbar sein Die Schwachstelle BadUSB liegt am patchen 12

Wann entsteht konkreter Schutz? Identifikation einer Schwachstelle Idee wie man sich besser schützen kann Ausgabe von Forschungsgeldern Marktrecherche über verschiedene Verfahren Beschreibung von IT-Sicherheitsanforderungen Durchführung einer Beschaffung / Ausschreibung Prüfen einer konkreten Lösung gegen Angriffe / Schwachstellenanalyse Zertifizierung eines Produktes Penetrationstest Beschreibung eines Betriebskonzeptes Implementierung von Schutzmaßnahmen 13

Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen

Bsp: Silodenken CEO CSO CIO IoT Produktion IoT Produkte Werkschutz CISO CSO CSO Zuerst: Jede Abteilung handelt für sich Ist in dieser Struktur zielgerichtete fachübergreifende Zusammenarbeit für das querschnittliche Thema Cyber Security möglich? Auf welchen Antrag hin wird das Budget für eine Maßnahme freigegeben? 15

IT Schutz. Ist unsere IT gut geschützt???? 16

Kommunikation Wie heißt das Land? Ma c'ubah than!! Yucatán gehört jetzt Spanien!!!! Hernán Cortes, spanischer Eroberer aus dem 16. Jhd. Eingeborener 1970 erforschten Linguisten die Maya Dialekte und fanden heraus: "Ma c'ubah than" heißt Ich versteh Dich nicht" 17

Gesellschaftlicher Konsens Allen ist klar, dass ein AKW nicht einfach mit seinen produktiven Elementen an das Internet angeschlossen werden sollte.? Wo liegt aber nun die Grenze zwischen einem AKW und einen privaten internetfähigen Kühlschrank? 18

Vertrauen in Standardlieferung 19

Wir sitzen alle in einem Boot Ich kann auf meiner Seite machen, was ich will. 20

Wegschauen hilft nicht! Wegschauen hilft nicht! vertraulich Datenleck Kreditkarten Top Secret 21

Wo muss man hinschauen? Man weiß nie, wo sich Angreifer verstecken! 22

In jede Maus reinschauen? Hübsche Maus ist zusätzlich eine gefälschte Tastatur siehe BadUSB auf der Black Hat 2014 in Las Vegas und hat eine WLAN Karte mit eingebaut Platz ist genug 23

Was ist wie sicher? Ein funktionaler Test, ob ein IT-System die gewünschten Leistungen erbringt, arbeitet sukzessive die im Anforderungskatalog definierten Funktionen ab Wenn eine Eingabe (aus einem definierten Wertespektrum) das richtige Ergebnis liefert, kann das Produkt abgenommen werden Der Test gegen die Sicherheitseigenschaften eines Produktes oder einer IT-Infrastruktur ist um Faktor 10 bis 100 teurer Alle Möglichkeiten der Falscheingabe & des Mitlesens von Daten auf dem Kommunikationsweg, des Wiedereinspielens müssen berücksichtigt werden Es muss auch versucht werden die Sicherheitsanker der Systeme zu penetrieren (wie sicher ist Windows 7, 8, 10; Android 4, 6 oder IOS oder in welchem Betriebsmodus) 24

Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen

Die tägliche Dosis IT-Sicherheit 26

Zu komplex oder falsch verstanden PAPA!!! Das Puzzle ist mir zu schwierig. 27

Software fälscht jede Stimme VoCo Quelle: http://androidmag.de/news/voco-neue-adobe-software-kann-stimmen-faelschen/ 28

Den vollständigen Artikel finden Sie unter http://www.itwatch.de/download/transparent.pdf 29

Name/ Passwort.. Mechanismusstärke Two Factor Hardware Token Metrik für die Robustheit des Schutzes? MaRisk BDSG Compliance Funktionalität 30

Name/ Passwort.. Two Factor Robustheit Hardware Token Funktion ohne Schutz ist wertlos! Funktionalität

Name/ Passwort.. Two Factor Robustheit Hardware Token Vertrauenskette Eine Vertrauenskette ist nur so stark, wie ihr schwächstes Element! Erreichtes Niveau Funktionalität

Polizei nutzt umstrittene Software Quelle: https://www.welt.de/wirtschaft/article149558656/polizei-nutzt-umstrittene-software-zur-datensicherung.html 33

Kaspersky-Verbot für alle US- Bundesbehörden Quelle Text: https://www.golem.de/news/antivirus-us-bundesbehoerden-bekommen-kaspersky-verbot-1709-130041.html Quelle Kaspersky: http://www.t-online.de/digital/sicherheit/id_82168100/behoerden-in-den-usa-bekommen-kasperskyverbot.html QuelleFlaggen: https://www.heise.de/newsticker/meldung/usa-verbieten-behoerden-nutzung-vonrussischer-kaspersky-software-3831122.html (Bild: kremlin.ru CC BY 4.0 (Ausschnitt)) 34

Beispielhafte Schwachstellen in einem Sicherheitsprodukt im zeitlichen Verlauf: 2014: Update für kritische Lücken im Symantec Endpoint Protection Manager (Fabian A. Scherschel; https://www.heise.de/security/meldung/update-fuer-kritische- Luecken-im-Symantec-Endpoint-Protection-Manager- 2114834.html;14.02.2014) 2015: Symantec Endpoint Protection: Gefährlicher Sicherheitslücken Cocktail (Dennis Schirrmacher; https://www.heise.de/security/meldung/symantec-endpoint- Protection-Gefaehrlicher-Sicherheitsluecken-Cocktail-2768461.html; 04.08.2015) 2016: Kritische Lücke gefährdet Antiviren-Produkte von Symantec und Norton (Dennis Schirrmacher; https://www.heise.de/security/meldung/kritische-lueckegefaehrdet-antiviren-produkte-von-symantec-und-norton-3208967.html; 17.05.2016) 2016: Angreifer können Symantec Endpoint Protection Code unterjubeln (Dennis Schirrmacher, https://www.heise.de/security/meldung/angreifer-koennen- Symantec-Endpoint-Protection-Code-unterjubeln-3143338.html; 18.03.2016) 35

Die wichtigsten sieben Punkte der CIA- Hacker-Dokumente Vault 7 1.False Flag CIA führt Cyberangriffe "unter falscher Flagge" durch und kann Russland und andere Länder als Täter hinstellen 2.Frankfurt US-Geheimdienst betreibt offenbar in Frankfurt verdeckte Basis, von der Hacker-Aktivitäten in Europa, Nahost und Afrika ausgehen. 3.Zero-Day Dutzende Zero-Day" Lücken in Betriebssystemen, die sich gegen ein breites Spektrum an Unternehmensprodukten aus Europa und den USA richten, wie iphone von Apple, Android von Google, Microsoft Windows, Samsung Fernseher, die in verdeckte Mikrofone verwandelt werden können. 4.Kontrolle verloren CIA hat Kontrolle über Mehrheit ihrer Hacking-Werkzeuge verloren, wie bspw. Malware, Viren, Trojaner, ausnutzbare "Zero-Day" Lücken, Malware Fernzugriffssysteme und die zugehörigen Betriebsanleitungen. 5.Über tausend Hacking-Systeme Bis Ende 2016 hatte CIA Hacking-Abteilung über 5.000 registrierte Nutzer, welche über tausend Hacking-Systeme entwickelten, Trojaner, Viren und andere als Cyberwaffen einsetzbare Malware. 6.Konkurrenz zu der NSA CIA installierte ihre "eigene NSA. 7.Die Geister, die ich rief Wenn eine Cyberwaffe erst einmal frei wie ein Geist aus der Flasche ist, kann sie sich innerhalb von Sekunden in der ganzen Welt verbreiten und von anderen Staaten, der Cybermafia und auch individuellen Hackern verwendet werden. Quelle: https://deutsch.rt.com/international/47419-wikileaks-bisher-wichtigsten-punkte-aus-den-cia-dokumenten/ Quelle Bild: https://netzpolitik.org/2017/vault-7-wikileaks-praesentiert-liste-der-cia-hacker-werkzeuge/ 36

Ihre Sicherheit unsere Mission Die beste Verteidigung ist eine gute IT-Sicherheitsarchitektur. Diese ist lückenlos in mehreren Dimensionen: Durchgehende, lückenlose Vertrauenskette Technik Organisation Rechtssicherheit Haftung Lieferkette Zusammenfügen der Sicherheitsprodukte zu einer sicheren, durchgehenden Vertrauenskette - von der Tastatur bis zu den Services und Daten Brückenschlag zwischen Security Awareness und Technischer Lösung Verfolgen der Lieferkette unter Berücksichtigung von überlagernden Rechtsräumen (z.b. patriot act) Wenn die Haftung für erfolgreiche Angriffe nicht durchgesetzt werden kann, muss der proaktive Schutz erhöht werden Integritätskontrolle der fertig integrierten Produkte bis in ihren produktiven Einsatz hinein

Fehlende Metrik Nach der Bewertung der Sicherheit eines Systems nach vordefinierten und verfolgbaren Kriterien sollten natürlich die Testergebnisse für andere wiederverwertbar übergeben werden können. Real werden die Bewertungen nach Entscheidung archiviert aber nicht an andere kommuniziert. Ähnlich wie es Testate für die Erfüllung von 27001, BSI Grundschutz o. äh. gibt, wäre es zwingend notwendig, die Haftung bei Themen wie der haftungsseitig sehr schwierig zu durchschauenden Europäischen Datenschutzgrundverordnung durch Testate und Zertifikate klar zu stellen. Ähnliches gilt für die NIS-Richtlinie und viele andere Regularien aus Kritis o. äh. Weder die Testate noch die Metrik für die Erfüllung des Standes der Technik bezüglich Integrität oder Vertraulichkeit gibt es. Bei Verfügbarkeit gibt es eine einfache Metrik. 38

Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen

Handlungsvarianten Zertifikate wie FIPS, Common Criteria etc. prüfen gegen vordefinierte Protection Profiles (PP)aber nicht gegen die Realität. Der Bedarfsträger kann nicht beurteilen, ob das PP seinen Bedarf an Schutz deckt. ISO 9000-er Serie bestätigt, dass die Qualität, die einmal hergestellt wurde, wieder produziert werden kann ob diese gut oder schlecht war weiß man nicht. ISO 27000-er Serie bestätigt, dass es Prozesse für die geforderten Themen gibt ob die gut oder schlecht sind ist nicht erheblich. Ein geplantes Sicherheitssiegel der Bundesregierung versucht eine binäre Handlungshilfe zu geben. 40

Kundensicht Der Konsument erwartet bei dem Kauf von Sicherheitsprodukten (zu recht?) das Erfüllen eines Handlungsversprechens, dass Die Produkte und Lösungen selbst nicht angreifbar sind Ein Update / Patch Management mit Reaktionszeiten unterlegt ist, so dass über die Dauer eines gültigen Wartungsvertrages der Schutz vor allen im Kontext relevanten Angriffsvektoren aufrecht erhalten bleibt Ein Hinweissystem existiert, welches auf Schwachstellen, die im nahen Handlungskontext entdeckt werden, aber nicht im eigentlichen Produkt abgedeckt werden können, zeitnah aufmerksam macht Der Schutz dem Schutzbedarf des Handlungskontextes automatisch angepasst wird Die Gelder nicht für Fake Security ausgegeben werden 41

Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen

Fachkräftemangel - hausgemacht Alle Branchen der Sektor öffentliche Auftraggeber und Organisationen aus non-profit beklagen einen signifikanten Fachkräftemangel Cyber Security In der Konsequenz wird zum einen IT-Personal, welches den Unterschied zwischen asymmetrischer und symmetrischer Kryptographie erklären kann zur Fachkraft erklärt. Hilft Das? Woher kommt der Mangel? Zum großen Teil hausgemacht. Auf der kurzen Strecke im Rhein zwischen Kolbenz und Köln liegen die Cyber Security Organisationen von BMVg, Bundesamt für Verfassungsschutz, Bundespolizei, BSI, BWI, T-Systems Alle wollen die gesamte know-how Palette der Cyber security in ihrer Organisation abbilden, weil ES GIBT KEINE VERTRAUENSKETTEN In der Industrie ist das nicht anders. Quelle: https://www.kes.info/archiv/leseproben/2016/stets-bemueht-um-sicherheit-1/ 43

Wo fehlt es an Know-how? Viele IT-Sicherheitsprodukte greifen auf irgendetwas aus dem Internet zurück > Schwachstelle Drittprodukte Hersteller von Non-IT-Security -Produkten haben sich in den IT-Security-Markt bewegt - das ist ja auch nur IT und so schwer kann das nicht sein bis zur Vernetzung Bei Entscheidungsverfahren um make or buy stellt die Robustheit der Lösungen kein wesentliches Ziel dar. D.h. auch in Produkten auf denen steht IT-Sicherheit ist nicht immer das gleiche Maß an IT-Sicherheit drin. Eine Metrik wäre gut, so dass der Konsument ohne eigenes Know-how verlässlich entscheiden kann => Vertrauenswürdige Handlungsketten sind sinnhaft 44

Lösung im Workshop Quelle: https://www.kes.info/archiv/leseproben/2016/stets-bemueht-um-sicherheit-1/ 45

Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen

zum Schluss. 47

Demokratie: Schutz für die schwachen Je kleiner ein Unternehmen / eine Organisation, um so weniger kann sie die komplexen Abhängigkeiten der Cyber Security mit eigenem Know-how / eigenen Ressourcen sinnvoll lösen. Klare pragmatisch durchführbare Handlungs-Empfehlungen, die schnell zu sichtbaren Erfolgen führen sind deshalb eine notwendige Hilfestellung für KMU, Kommunen 48

Die Barrieren Vertrauenslieferanten Politik KMU`s Berater Hersteller Verbände Integratoren Zertifizierer Testergebnisse Regulierer vertrauenswürdiger Pfad Handlungsversprechen it Sicherheit Realität 49

Kooperatives Modell Vertrauenslieferanten Know how KMU`s Berater Hersteller Integratoren Know how vertrauenswürdiger Pfad Zertifizierer $ $ 50

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback