BEDEUTUNG VON STANDARDS FÜR SECURITY MANAGER STATUS QUO UND TRENDS Timo Kob; Vorstand HiSolutions AG Von unseren Kunden ausgezeichnet als TOP CONSULTANT 1 HiSolutions 2014 Präsentation
Kurzprofil HiSolutions Gründung 1994 Eigentümer gründergeführt und unabhängig Themen Security Consulting - Information Security - Cyber Security & Response - Business Continuity - Business Security Köln Märkte IT Service Management D/A/CH Frankfurt/Main Kunden 400+ alle Branchen 50 % der DAX-Unternehmen und stark im Mittelstand 75 % der deutschen Top20-Banken öffentliche Verwaltung in Bund, Ländern und Kommunen Mitarbeiter 100+ München 2
Kurzprofil Timo Kob Gründer und Vorstand der HiSolutions AG Leiter des Forschungsfeldes Corporate- & Information Security- Management an der FH Campus Wien Vorstandsmitglied der ASW Vorstand Dialogkreis Information- und Cyber-Security des BITKOM (Mit-) Autor des BSI 100-4 und diverser GS-Bausteine Leiter eines der beiden CertLabs des BSI Mitglied des Normenausschusses Informationstechnik und Anwendungen" beim DIN (ISO2700x-Familie) Mitglied des Normenausschusses Feuerwehrwesen beim DIN (ISO223xx-Familie) 3
Steigende Bedrohungslage verlangt nach neuen Antworten Folgende Trends erzwingen zukünftig verstärkte (und andere) Aktivitäten im Sicherheitsmanagement als heute: 1. Vulnerabilität der Unternehmen erhöht sich 2. Attraktivität von ITK-Kriminalität/CyberCrime wächst 3. Professionalisierung der Angreifer setzt sich fort 4. Komplexität und Hybridisierung von Angriffen steigt 5. Die Entdeckung von Neuland : Der Staat wacht auf 6. Unternehmen entdecken die strategische Dimension der Sicherheit 4
Zwischenfazit: Entwicklung der Bedrohungslage Schadenspotenzial steigt 5
Zwischenfazit: Entwicklung der Bedrohungslage Anzahl Angriffsziele steigt + Schadenspotenzial steigt 6
Zwischenfazit: Entwicklung der Bedrohungslage Anzahl Täter steigt + Anzahl Angriffsziele steigt + Schadenspotenzial steigt 7
Zwischenfazit: Entwicklung der Bedrohungslage Professionalität der Täter steigt + Anzahl Täter steigt + Anzahl Angriffsziele steigt + Schadenspotenzial steigt 8
Zwischenfazit: Entwicklung der Bedrohungslage Komplexität der Angriffe steigt + Professionalität der Täter steigt + Anzahl Täter steigt + Anzahl Angriffsziele steigt + Schadenspotenzial steigt 9
Zwischenfazit: Entwicklung der Bedrohungslage Um diese Lücke zu schließen, braucht es nicht nur ein Mehr vom Bestehenden, sondern auch neue Ansätze! Was bedeutet dies für die Sicherheitsstandards? 10
Was sind Standards eigentlich? Für die einen ist es eine Messlatte, Wir alle schaden der guten Sache, wenn wir (weiterhin) den Aspekt der Messlatte zu stark betonen! für die anderen die vermutlich längste Sprunghilfe der Welt. 11
Der IT-Grundschutz - Das Drama des falschen Tenors Die falsche Prämisse führt in Kombination mit der Aussage ISO27001: 100 Seiten IT-Grundschutz: 5.000 Seiten zur falschen Assoziation statt 12
IT-Grundschutz Vom Drama zum Happy End Umfassende Befragung der Stakeholder durch das BSI Modernisierungsbedarf identifiziert Die Stärke der Konkretisierung wieder als Stärke und nicht als Bedrohung wahrnehmbar machen Restrukturierung und Entschlackung Aktuell Projektplanung Vermutlich im Herbst: Bekanngabe Zielbild und Roadmap In 2015: Erste Ergebnisse Parallel: Pflege aktuelles Modell und Entwicklung Migrationspfad Zukunfts- und Investitionssicherheit 13
Standards als Hilfsmittel Damit Standards als Hilfsmittel wirken und nicht zur stumpfen Waffe werden, müssen die zuvor postulierten Trends aufgenommen werden. Dies bedeutet: Gesamte Breite des Themas Sicherheit betrachten Konkrete Hilfe für spezifische Themen statt nur allgemeingültiger Aussagen bieten Spezifische Situationen der Anwender berücksichtigen 14
Entwicklungsfeld Standards Inhaltliche Vertiefung Brückenschlag zu ISO223xx (Societal Security/ Business Continuity) z.b. ISO27031 (ICT-continuity) z.b. ISO27037( digital evidence /Forensik) z.b. ISO27035 ( incident mangement ) ISO27001/2 z.b. ISO27011 (Telcos) z.b. ISO27019 (EVUs) z.b. ISO27799 (Health) Fachliche Verbreiterung Betrachtung Branchenspezifika 15 Aus Übersichtlichkeitsgründen wird die verkürzte Bezeichnung ISO statt ISO/IEC res. ISO/IEC TR verwendet.
Standardisierung muss nicht langwierig sein: ISO27019 Ziel: Integration von Prozesskontrollsystemen in bestehende ISMS für Büro-IT zu integrieren Startpunkt Oktober 2011: DKE und DIN beginnen Arbeit an einer deutschen Spezifikation (DIN SPEC 27009) Nach rund 18 Monaten Veröffentlichung als internationaler Standard. Wahrnehmung nach ersten Erfahrungen: Sprungstab, nicht Latte! 16
Treiber aus der Politik Entwurf IT-Sicherheitsgesetz verlangt branchenspezifische Vorgaben ISO27019 kann als Vorbild dienen Modell der IT-Grundschutz-Profile ist andere Alternative Politik verlangt logischerweise Latten, wenn alle Seiten sich aber offen und konstruktiv involvieren, können wir auch Sprungstäbe entwickeln 17
Über den IT-Tellerrand Aktueller Stand Im August 2013 wurde die Initiative Nationale Wirtschaftsschutzstrategie gestartet Neben der Bundesregierung eingebunden: BDI, DIHK, BDSW und ASW Ziel: Vorreiterrolle für Wirtschaftsschutz in Europa Leitprinzip: Freiwilligkeit 18
Über den IT-Tellerrand Ausblick Geplant in 2014: Adaptierung der Idee des IT-Grundschutzes auf die Aspekte des Wirtschaftsschutzes durch ASW und HiSolutions, begleitet von BSI und BfV Einbindung möglichst breiter Expertenkreise Ziel: Konsensuale Schaffung eines Sprungstabs Umsetzung in eine DIN SPEC 19
HISOLUTIONS BEDANKT SICH FÜR IHRE AUFMERKSAMKEIT HiSolutions AG Timo Kob Bouchéstraße 12 12435 Berlin kob@hisolutions.com www.hisolutions.com +49 30 533 289-0 20