IT-Sicherheits-Engineering

Im Frühsommer diesen Jahres ereignete sich im Los Alamos National Laboratory in New Mexico ein aufsehenerregender Vorfall: Computer-Festplatten mit brisantem Inhalt "verschwanden" aus einem Tresorraum. Besorgnis löste der Vorfall aus, nicht nur weil auf den besagten Platten geheime Informationen zu Kernwaffensystemen gespeichert waren, sondern auch weil nach Entdeckung des Vorfalls mehr als vier Wochen vergingen, bevor die zuständigen übergeordneten Behörden über den Verlust informiert wurden.

Dieses Ereignis zeigt, daß selbst in hochsensiblen Sicherheitsbereichen, Risiken nicht richtig eingeschätzt werden und Sicherheitsregeln mit definierten Reaktionen auf derartige Vorfälle gar nicht oder nur unvollständig formuliert oder gar eingehalten werden. Diese Einschätzung wird durch eine jüngst von PriceWaterhousCoopers / InformationWeek durchgeführte und publizierte Studie bestätigt: Umfragen unter IT-Managern und Sicherheitsbeauftragten von kleinen, mittleren und großen Unternehmen ergaben, daß 63% der in Deutschland Befragten entweder gar keine oder nur eine formlose Sicherheitspolitik formuliert haben, obwohl 27% der Befragten gleichzeitig angaben, daß sie durch Sicherheitsverletzungen finanzielle Verluste erlitten haben.

Der Workshop IT-Sicherheits-Engineering des CAST-Forums am 22. September widmet sich diesem Problem und zeigt auf, wie für Unternehmen und Behörden IT-Sicherheit geplant und umgesetzt werden sollte. Mit den Vorträgen legen die Referenten einen roten Faden, welche Schritte notwendig sind, um zu einem umfassenden Sicherheitskonzept zu gelangen. Beleuchtet werden dabei zum einen die existierenden Bedrohungen - sei es durch externe Angriffe (Hacker etc.) oder interne Risiken wie z.B. durch Schwächen der eingesetzten Betriebssysteme oder Angriffe aus den eigenen Reihen - und darauf aufbauend Konzepte zur Formulierung und Durchsetzung einer Sicherheitspolitik, die technische Inhalte, rechtliche Regeln (Datenschutz) und geschäftliche Ziele berücksichtigt. Dies wird an Fallbeispielen aus der Praxis erläutert. Zum anderen werden in den Vorträgen Maßnahmen des IT-Grundschutzes und technische Lösungen vorgestellt, mit denen definierte IT-Sicherheitsstufen wirksam umgesetzt werden können. Abschließend berichten Experten von ihren Erfahrungen bei der Evaluierung von Sicherheitsvorkehrungen, beispielsweise in Form von Penetrationstests.

Der Workshop richtet sich gleichermaßen an End-Anwender und IT-Sicherheitsexperten, welche die IT-Sicherheit in Ihrem Umfeld hinterfragen und verbessern wollen.