Best Practices für professionellen Umgang mit IT-Security

CyberForum 21.05.2015

Mehr Sicherheit im Mittelstand - unter diesem Motto fand am vergangenen Dienstag der 7. Tag der IT-Sicherheit im Saal Baden der IHK Karlsruhe statt. Über 100 Verantwortliche für Datenschutz und IT-Sicherheit aus Unternehmen der TechnologieRegion Karlsruhe folgten den Praxisberichten und Expertenvorträgen.

Seit 2009 veranstalten die Karlsruher IT-Sicherheitsinitiative (KA-IT-Si) gemeinsam mit dem CyberForum e.V., der IHK Karlsruhe und dem Kompetenzzentrum für angewandte Sicherheitstechnologie am KIT (KASTEL) den Tag der IT-Sicherheit, um Best Practice-Konzepte für einen professionellen Umgang mit dem Thema IT-Sicherheit vorzustellen und den Austausch von Erfahrungen unter den IT-Sicherheitsverantwortlichen der Region zu fördern.

Beate Bube, Präsidentin des Landesamtes für Verfassungsschutz, gab in ihrer Keynote einen Überblick über die aktuelle Bedrohungslage mittelständischer Unternehmen in Baden-Württemberg. Sie beobachte eine Zunahme von gezielten Angriffen, die sich nicht mehr allein durch Technik verhindern lassen, und deren Abwehr die Aufmerksamkeit aller Mitarbeiter benötige. Im Fokus stünden dabei ausgewählte, weltweit erfolgreiche Unternehmen – von denen es in Baden-Württemberg sehr viele gibt.

Anschließend hielt die Konzerndatenschutzbeauftragte der Deutschen Bahn, Chris Newiger, ein engagiertes Plädoyer für das Prinzip "Privacy by Design“ - statt des verbreiteten nachträglichen und meist nur partiellen „Heilens“ von Datenschutzmängeln und Sicherheitslücken. Sicherheit und Datenschutz gehören von Anfang an mitgedacht – und bereits im Design einer Lösung umfassend verankert.

Markus Hennig, einer der Gründer des Karlsruher Firewall-Herstellers Astaro (heute Teil der Sophos-Group) und nun Geschäftsführer der Ocedo GmbH, beleuchtete in seinem Vortrag die „Sicherheit im Always-On“ und die Gefahren, die mit der Allgegenwart von mit dem Internet verbundenen Geräten und technischen Komponenten einhergehen. Er zeigte die Konsequenzen für den Einzelnen, für Firmen und für die Gesellschaft auf – und vermittelte eine Vorstellung von den Herausforderungen für die Sicherheit, die in den kommenden Jahren zu bewältigen sein werden.

Eine Vorgehensweise, um Sicherheit nicht „nachzuflicken“, sondern von Beginn an vorzusehen, stellte Dr. Peer Wichmann, IT-Sicherheitsbeauftragter der Karlsruher WIBU-Systems AG mit seinen „Designprinzipien für sichere Systeme“ vor. Dabei geht es nicht nur um Methoden, sondern vor allem um die Sensibilisierung aller am Entwicklungsprozess Beteiligten – vom Vorstand bis zum externen Dienstleister. Zwar entstünde mit Awareness allein kein sicheres System, aber ohne Awareness gelänge das ganz sicher nicht.

Was die Teilnehmer schon immer über „Intrusion Prevention“-Systeme (IPS) wissen wollten, sich aber die Hersteller nicht zu fragen trauten, beantwortete Klaus J. Müller von der Leitwerk AG. Mit einem IPS kann man Anomalien im internen IT-Netzwerk feststellen und Angriffsversuche erkennen. Aber was leistet ein IPS – und was nicht? Wie kalibriert man es so, dass das IT-Management nicht von Fehlalarmen überflutet wird? Welche technischen, organisatorischen und rechtlichen Aspekte sind bei der Einführung zu beachten?

Abschließend demonstrierten André Domnick und Kai Jendrian von der Secorvo Security Consulting GmbH in einem Live-Hacking das Vorgehen eines Angreifers, der über eine fehlerhafte Webanwendung einen kompletten Server übernimmt – und dabei zahlreiche Schutzmaßnahmen des Betreibers aushebelt.

Die Vorträge zum „7. Tag der IT-Sicherheit“ stehen ab dem 20. Juli 2015 online unter http://www.tag-der-it-sicherheit.de/programm/ zum Download bereit.

Die Veranstaltung fand im Rahmen der landesweiten Initiative smart businessIT statt. Unterstützt wurde die Veranstaltung vom Projekt Be Wiser.

Kontakt:

Karlsruher IT-Sicherheitsinitiative
c/o Secorvo Security Consulting GmbH
Frau Jessica Schwarz
Tel. +49 721 255171-0 

Bild: fotoskop (Wolfram Sieber)