Enterprise Security: Informationssicherheit - die vierte Welle

Nach wissenschaftlichen Einschätzungen entwickelt sich die Informationssicherheit in so genannten Wellen bzw. Entwicklungsstufen, die sich aufgrund ihrer zeitlichen und inhaltlichen Dimensionen unterscheiden lassen. Charakteristisch für die erste Welle ist die technologische Ausprägung (Firewall, Proxy-Gateway, IDS-Systeme), für die zweite Welle die Erkenntnisse eines notwendigen Managements (Policies, Procedures) und für die dritte Welle die Einführung der Best Practices, Standards, Zertifizierungen, Mess- und Monitormethoden. Die derzeitige vierte Welle erzwingt von den Unternehmen ein Information Security Governance indem sie die Berücksichtigung von rechtlichen, regulatorischen und institutionellen Vorgaben fordert (Compliance). Als Synonym dieser Vorgaben steht der Sarbanes Oxley Act (SOX) aus dem Jahre 2002, der aufgrund der Bilanzskandale von Enron und WorldCom ins Leben gerufen wurde. Die enorme Sensibilität dieser Thematik lässt sich von den hohen Sanktionen herleiten, die gegen Manager, die Bilanzskandale zu verantworten haben, verhängt worden sind. Einem Artikel der FAZ vom 24.10.2006 zu Folge wurde 52 jährige Enron Chef zu 24 Jahren und 4 Monaten verurteilt ist.

Inzwischen wird der Markt überschwemmt von so genannten Werkzeugen, die alle das Merkmal "Compliance-fähig" tragen. Die Marketingaussagen sind z.T. sehr erfinderisch und bescheinigen jüngst sogar Virenscannern die Compliance-Fähigkeit. Doch nicht jede Lösung passt für jedes Unternehmen. Einzellösungen sind nach Ansichten von Analysten zudem immer die schlechteste und teuerste Variante.

Zunächst werden in dem Workshop rechtliche und regulatorische Anforderungen beleuchtet und mit Blick auf Europa dahingehend hinterfragt, welche Ausstrahlung SOX auf die europäischen Börsen haben wird. Die Fragestellungen sind: Wird es ähnliche Konsequenzen hierzulande geben? Wird eventuell das KonTraG eine Aufwertung auf europäischer Ebene erfahren und mit ähnlich empfindlichen Sanktionen wie das SOX ausgestattet werden? Sodann werden die mathematischen und methodischen Anforderungen, die an die Werkzeuge zustellen sind, diskutiert und verschiedene Modellvariationen aufgezeigt. Die Fragestellungen hierzu lauten: Welche Bedeutung haben die W7Q? Wie lässt sich ein zuverlässiger Compliance-Nachweis liefern? Reichen einfache Reports aus oder ist es ratsam ein so genanntes Compliance Profiling zur Analyse des Nutzerverhaltens einzurichten?

Welche Architekturen sich für die neuen Anforderungen anbieten ist Gegenstand der sich anschließenden Vorträge. So schlüsselt z.B. die Butler Group eine Compliance-IT-Architektur auf in die drei Bereiche: Informationsanalyse, Informationsmanagement und Informationssicherheit. Welche Tools welche Unterstützung und welchen Komfort in der Compliance Analyse bieten, wird in diesem eignen Block diskutiert werden. Als Unterstützung können z.B. Kennzahlensysteme dienen, mit denen der aktuelle Status abgerufen werden kann. Doch welche Kennzahlen sind geeignet und welche nicht oder welche sind überhaupt aussagefähig im Sinne der Compliance-Anforderung?

Die Vorträge des CAST Forums bieten eine bisher einmalige Vertiefung dieses hochaktuellen Themas und richten sich an IT-Manager und Fachverantwortliche der Unternehmen. Die Teilnehmer erhalten einen aktuellen und profunden Überblick über die derzeitigen Entwicklungen in Forschung und Praxis.

Der CAST-Workshop findet in Kooperation mit ISACA Germany Chapter statt.