IT-Sicherheitsrisiken managen: Hürden und Möglichkeiten

IT-Sicherheitsrisiken und ihre Konsequenzen für Unternehmen, Organisationen und im Falle von kritischen Infrastrukturen auch für die Bevölkerung sind regelmäßig in der Presse. Zahlreiche Unternehmen sind von Angriffen auf ihre IT-Infrastruktur betroffen, wobei von den Angreifern häufig seit langem bekannte technische oder organisatorische Schwachstellen ausgenutzt werden.

Dennoch tun sich viele Unternehmen immer noch schwer, einen systematischen und belastbaren Umgang mit IT-Sicherheitsrisiken zu finden, d. h. die für sie relevanten Risiken zu identifizieren, zu bewerten und mit angemessenen Maßnahmen zu behandeln. Risikomanagement in der IT wird oft entweder unkoordiniert und ereignisbezogen durchgeführt oder losgelöst von den Zielen und Risiken des Unternehmens.

Der geplante Workshop der GI-Fachgruppe SECMGT will darum zum einen der Frage nachgehen, worin Hindernisse für das Management von IT-Sicherheitsrisiken liegen können, und zum anderen Impulse für ein gelingendes Risikomanagement geben.

Zeit und Ort
am Freitag, 10. Juni 2016, von 10:15 - ca. 17:00 Uhr

in Frankfurt am Main bei DB Systel GmbH
60329 Frankfurt am Main, Jürgen-Ponto-Platz 1
(7 Gehminuten vom Hauptbahnhof Frankfurt am Main - Wegbeschreibung)

Die Teilnahme am Workshop ist kostenlos und ist auch für Nicht-Mitglieder offen. Eine formlose Anmeldung bis zum 30.05.2016 via Email (Name, Vorname, Organisation) an anmeldung(at)secmgt.de ist aufgrund organisatorischer Anforderungen notwendig.

Falls Sie sich angemeldet haben, aber doch nicht teilnehmen können, bitten wir Sie, eine entsprechende Information ebenfalls an diese E-Mail-Adresse zu senden. Auch wenn die Abmeldung erst kurz vor dem Veranstaltungstermin erfolgt, ist ein entsprechender Hinweis wichtig und hilfreich für die Organisation.

Hinweis auf GI-Sonderkonditionen bei Anreise mit der Bahn

In Kooperation mit der Deutschen Bahn bietet die Gesellschaft für Informatik unter dem Stichwort "GI" einen bundesweit einheitlichen Festpreis für die Anreise zu GI-Veranstaltungen. Dieses Angebot gilt übrigens für alle GI SECMGT-Besucher, d.h. auch für Nicht-GI-Mitglieder.

Details siehe separate Info-Seite der GI-Angebote.

Hinweis auf Continuing Professional Education (CPE)

Der Besuch der GI SECMGT-Workshops berechtigt zu CPE-Punkten.
Details siehe separate Info-Seite zum CPE-Programm.

 

Programm

10:15

Frank Damm, DB Systel GmbH: Begrüßung & Vorstellung der FG SECMGT

Vorstellung der Sponsoren DB Systel GmbH (Gastgeber) und Schleupen AG (Getränke)

10:40

Claus Stark, Citigroup Global Markets Deutschland AG: "The Information Security Risk Management at Citigroup and its consideration for the management of security weaknesses, incidents and vulnerabilities" (Praxisbeitrag)

Der Bankensektor gilt national wie global als stark reguliert insbesondere auch im Bereich der Informationssicherheit. Die Citigroup als international tätiger Finanzdienstleister unterliegt im Information Security Management dabei verschiedensten nationalen wie internationalen Anforderungen der Behörden. Als Basis für die Umsetzung dienen dabei insb. internationale Standards wie die ISO/IEC 2700x-Familie, wie der ISO/IEC 27005 zum risikobasiertem Information Security Risk Management.

Im Vortrag werden die Grundlagen des Information Security Risk Managements (ISRA) bei der Citigroup skizziert, und wie dieser Prozess mit anderen Prozessen wie u.a. mit dem Information Security Incident Management (SIRT), dem Application Vulnerability Assessment und dem Third Party Information Security Assessment und weiteren verzahnt ist.

11:30

Kommunikationspause - Zeit zum Wissensaustausch

11:40

Kirsten Messer-Schmidt, excepture: „Schwierigkeiten der Risikokommunikation

Trotz der elementaren Bedeutung von ITK für Unternehmen und dem Wissen um die möglichen Auswirkungen von Sicherheitslücken, stößt der Versuch IT-Risiken systematisch zu kommunizieren, vielerorts auf Unbehagen. Entscheidungen für die Einführung neuer Technologien oder die Weiterentwicklung von Software sind oft rein termingetrieben, werden bestenfalls nach Kosten-/Nutzen-Kriterien gefällt, oder erfolgen bisweilen vollständig „aus dem Bauch heraus“. Wer IT-Risiken offen formuliert, wird gerne als über-vorsichtig eingestuft. Das erstaunt umso mehr, als viele Unternehmen aufgrund ihrer Branchenzugehörigkeit bereits Übung haben müssten, Risikomanagement als eine Grundlage ihres Handelns zu betrachten … und Risikomanagement setzt nun mal – wenn es keine reine Papierarbeit ist – Kommunikation zwischen verschiedenen Ebenen voraus.
Doch was ist überhaupt IT-Risikokommunikation? Wer kommuniziert mit wem über IT-Risiken? Ist die Kommunikation auf allen Ebenen gebrochen, zwischen IT-Entwicklung und IT-Betrieb genauso wie zwischen Fachabteilungen und IT-Bereichen oder zwischen CEO und CIO?

12:30

Mittagspause - Zeit zum Wissensaustausch

14:15

Isabel Münch, Bundesamt für Sicherheit in der Informationstechnik (BSI): „Grenzen des quantitativen Risikomanagements

Die Bewertung von Risiken ist eine wichtige Aufgabe des Risikomanagements, die sowohl zeitnah und ressourcenschonend als auch umfassend, vollständig und nachvollziehbar erfolgen sollte. Alle diese Punkte vereinbaren zu können, ist eine herausfordernde Aufgabe, für die sich verschiedene Vorgehensweisen etabliert haben. Hierbei sind vor allem quantitative und qualitative Ansätze zu unterscheiden. Dem quantitativen Ansatz sind allerdings praxisbedingte Grenzen gesetzt. Quantitative Risikoanalysen erfordern ein umfangreiches Expertenwissen sowohl über das betrachtete Szenario als auch über die angewendete Methodik und sind sehr aufwändig. Trotzdem führen sie immer wieder zu Fehleinschätzungen der Risiken, da durch die komplizierten Berechnungen dahinter leider manchmal die tatsächlich kritischen Punkte übersehen wurden. Qualitative Risikoanalysen liefern einen gröberen, aber verständlicheren Überblick und dies wesentlich schneller. Daher empfiehlt das BSI, bei Risikoanalysen auf qualitative Bewertungen zurückzugreifen.

15:05

Kommunikationspause - Zeit zum Wissensaustausch

15:15

Bernhard C. Witt, it.sec GmbH & Co. KG: „Risikomanagement im Rahmen von Outsourcing

Eine der in der Praxis leider stark vernachlässigten Aufgaben ist die adäquate Berücksichtigung bestehender Risiken bei geplantem oder bestehendem Outsourcing. In diesem Zusammenhang sind einige Vorschriften aus dem Datenschutzrecht und diversem Spezialrecht zu beachten und auch aus internationalen Standards folgen einige spezifischen Anforderungen, worauf im Zuge von Outsourcing geachtet werden sollte. Dennoch ist in der Praxis bemerkenswert oft der Fehler anzutreffen, dass die mit dem Outsourcing verbundenen Risiken nicht sinnvoll in das betriebene Risikomanagement einfließen. Allzu oft wird z.B. nicht angemessen berücksichtigt, dass Auftragnehmer häufig eine andersartige Risikobetrachtung vornehmen als der jeweilige Auftraggeber.

16:05

Abschlussdiskussion

16:30

Verabschiedung