Benutzerspezifische Werkzeuge

Nachlese

Die erste IT-Security live fand mit 14 engagierten Teilnehmern statt. Das Tagungskonzept mit kurzen Impulsrefera­ten und viel Zeit zur Diskussion ist auf große Zustimmung gestoßen und bei allen Themen hat sich eine intensive und vertrauensvolle Diskussion entwickelt.

Im ersten Impulsvortrag stellte Mario Beck (E.ON IT) die Herausforderungen der Sicherheitssteuerung externer IT-Provider an einem praktischen Beispiel dar. Einigkeit bestand darin, dass der Servicenehmer das Sicherheitsniveau proaktiv einfordern muss und die Kontrolle der Informationssicherheit niemals aus der Hand geben kann und darf. In der sehr lebhaften Diskussion wurden weitere Punkte besprochen wie die Vererbung von Sicherheitsanforderungen und -schwächen entlang der Service Supply Chain.

Mit einer ähnlich komplexen Fragestellung befasste sich auch Ina Sesselmann (Nokia Siemens Networks). In einem global agierenden Unternehmen erfordern besonders die Collaboration mit 3rd parties und neue Geschäftspartnermodelle große Anstrengungen, damit trotz Einsatz firmenfremder Hardware ein adäquates Sicherheitsniveau in der IT-Infrastruktur aufrecht erhalten werden kann. Ein Ansatz besteht in der Durchführung von Self-Assessments nach Modellen des ISF.

Probleme des globalen Datenverkehrs und die Verlagerung von IS Prozessketten in Bereiche außerhalb der direkten Kontrollmöglichkei­ten war ein wiederkehrendes Thema. Dr. Johannes Raab (Allianz SE) beleuchtete dieses Problem aus der Sicht der Revision. Zertifizierungen durch Dritte, z.B. nach ISO 27001, scheinen in erster Näherung attraktiv zu sein. In der Praxis wird aber die Komplexität großer Unternehmen nur unzureichend abgebildet.

Einen Blick über den Tellerrand und einen Bezug zur Software Engineering Live bot der Vortrag von Prof. Dr. Hans-Joachim Hof (Hochschule München): Software Security meets SCRUM. Dabei wurde deutlich, dass das gängige SCRUM Modell nicht ohne weiteres geeignet ist, um sichere Software zu entwickeln. Es gibt aber Ansatzpunkte, die noch weiter erforscht werden müssen, damit auch die schwierig zu fassenden nicht-funktionalen Sicherheitsanforderungen in den Entwicklungsprozess eingebracht werden können.

Insgesamt bestätigten die 14 Teilnehmer, dass Informationssicherheit ein komplexes Querschnittsthema ist, bei dem jeder auf seine Weise von der Sichtweise seiner Berufskollegen profitieren kann. Das Tagungskonzept mit kurzen Impulsrefera­ten (15 min) und viel Zeit zur Diskussion (45 min) ist auf große Zustimmung gestoßen und es hat sich über alle Bereiche hinweg eine intensive und vertrauensvolle Diskussion entwickelt. Das war nicht selbstverständ­lich, da die Vortragenden eine Gratwanderung absolvieren mussten, um den Anwesen­den ein Stück weit Einblick in Firmeninterna zu geben, wodurch die Diskussionspunkte erheblich vertieft werden konnten.

Bei der abschließenden Feedbackrunde haben die Teilnehmer den Organisatoren Hartmut Goebel, Prof. Dr. Haio Roeckle, Gerhard Schimpf und Dr. Jörg Schreck viel Lob gespendet und wertvolle Hinweise für die nächste Veranstaltung gegeben, die im kommenden Jahr wieder in Nürnberg stattfinden soll.

Artikelaktionen