IT-Risikomanagement - fundiert und effizient
Herausforderungen und Beispiele guter Praxis

Termin: 28.09.2017
Dauer: 10:00-17:00
Ort: Fraunhofer SIT
Rheinstr. 75
64295 Darmstadt

Programm

10:00
Begrüßung und Moderation
Reiner Kraft
Fraunhofer SIT
Reiner Kraft
Mechthild Stöwer
Fraunhofer SIT
Mechthild Stöwer
10:15
Michael Neuy
Beitragsservice
Michael Neuy
Methodische Fundierung des IT-Risikomanagements

Der Vortrag stellt das IT-Risikomanagement in den betrieblichen Kontext und zeigt die Verbindung zum Enterprise Risk Management auf. Nach einer Überleitung aus der Systematik des Risikomanagements wird der Aspekt der Risikoanalyse vertieft. Es werden exemplarisch mehrere Methoden der Analyse vorgestellt und bewertet. Abschließend wird noch auf Spezialaspekte eingegangen.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
11:00 Kaffeepause
11:15
Alex Didier Essoh
Bundesamt für Sicherheit in der Informationstechnik BSI
Alex Didier Essoh
Der neue BSI Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz

Mit dem BSI-Standard 200-3 stellt das BSI ein leicht anzuwendendes und anerkanntes Vorgehen zur Verfügung, mit dem Institutionen ihre Informationssicherheitsrisiken angemessen und zielgerichtet steuern können. Das Vorgehen basiert auf den elementaren Gefährdungen, die im IT-Grundschutz-Kompendium beschrieben sind und auf deren Basis auch die IT-Grundschutz-Bausteine erstellt werden. Dieser Standard bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit der IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 arbeiten und möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
12:00
Aleksandra Sowa
Deutsche Telekom AG
Aleksandra Sowa
Dynamisches IT-Risikomanagement

Wie der Meisterdetektiv Sherlock Holmes sagte: Es ist zwar schwierig, die Fakten zu sammeln, aber es ist noch weitaus schwieriger, aus diesen Fakten die richtigen Schlussfolgerungen zu ziehen. Auf Cybersicherheit trifft es direkt auf zweierlei Weise zu: Die wertvollen Security-Informationen im Internet verstecken sich in einer Masse von rund 2,5 Trillionen Bytes, die täglich neu erzeugt werden. Circa 90 % Davon liegen unstrukturiert vor. Immer mehr Informationen werden in Form von Video, Blogposts, Papers, Bilder oder PowerPoint-Präsentationen gespeichert. Diese Daten verwehren sich noch standhaft den (teil)automatisierten Auswertungen und Analysen. Schätzungsweise werden nur acht Prozent davon von Unternehmen im Schnitt ausgewertet. Der Anteil der strukturierten Daten, die für automatisierte Auswertungen oder Prognosen und Analysen geeignet sind wird auf max. 20 % geschätzt.

Unmittelbar von der wachsenden Menge an unstrukturierten Daten betroffen: die Risikobewertung und Risikoanalyse. Die traditionelle statische Risikoformel funktioniert dann gut und liefert zuverlässige Ergebnisse, wenn den Berechnungen ein korrekter statistischer Deduktionsprozess sowie zuverlässige (historische) Datenquellen und geprüfte Datenerzeugungsmechanismen zugrunde liegen. Kurz: sie funktioniert am besten, wenn genug objektive, sterile, zuverlässige strukturierte Daten vorliegen. Wie bereits Gordon und Loeb bemerkt haben, kann der Prozess zur Identifikation von Cybersecurity-Risiken auch abhängig von Organisationsform, Risikoeinstellung im Management oder Risikometrik verschiedene Formen annehmen. Liegen nur sehr wenige historische Daten vor, sollten diese individuell und besser gewichtet werden. Hierfür scheint die Bayessche Formel gut geeignet, da sie zudem praktischerweise auch Ereignisse berücksichtigt, die konsekutiv stattfinden und – einem Dominoeffekt ähnlich – aufeinander aufbauen (bedingte Wahrscheinlichkeit). Die Bayessche Formel wurde u.a. erfolgreich eingesetzt, um das Entstehen von Informationskaskaden auf den Finanz- und Aktienmärkten zu erklären (sogenanntes rationales Herdenverhalten oder „Bayessche Lemminge“). Die Formel von Bayes berücksichtigt damit historische Daten über zurückliegende Sicherheitsvorfälle, Attacken, Ausfälle et cetera zur Risikoeinschätzung zukünftiger Incidents.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
12:45 Mittagspause
13:30
Riccardo Bianchi
DHL Global Forwarding Management GmbH
Holistic IT risk management in implementation - challenges, solutions, recommendations

How is risk management implemented in an organization of more than 65000 employees over 120 countries? How do you coordinate between different risk appetites, risk perceptions, risk tolerances? How do you mitigate risks across the globe? How do you report to the board, and to the group CEO?

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
14:15
Alexander Geschonneck
Partner KPMG
Alexander Geschonneck
Cyber Risk Versicherungen. Luxus oder Notwendigkeit?

Mit dem rasanten Anstieg der Cyberangriffe steigt auch der Bedarf Restrisiken abzusichern. Klassische Versicherer haben den Cyber Risk Versicherungsmarkt für sich entdeckt und entwickeln fleißig Produkte. Die Kunden stehen nun vor der Herausforderung, das richtige Produkt zu wählen und dabei nicht dem Versuch zu unterliegen, alle Risiken der Versicherung zu überlassen. Der Vortrag beschreibt den aktuellen Markt, die Eigenschaften der Produkte und welche Fragen man sich als IT-Verantwortlicher hierzu stellen sollte.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
15:00 Kaffeepause
15:15
Kirsten Messer-Schmidt
excepture / GI-Fachgruppe „Management von Informationssicherheit“
Kirsten Messer-Schmidt
IT-Risikomanagement in Outsourcing-Beziehungen

Business Process Outsourcing, Outsourcing von IT-Entwicklung oder IT-Betrieb wie auch die Nutzung von Cloud-Lösungen sind häufig eine passende Antwort auf zunehmende Spezialisierung, Kostendruck und flexiblen Reaktionsbedarf im Umgang mit sich wandelnden Markterfordernissen.

Doch Outsourcing verändert die Risikosituation des auslagernden Unternehmens. Auch wenn die Service-Erbringung an Dritte übergeht, bleibt die Verantwortung gegenüber den eigenen Kunden beim Outsourcer. In regulierten Branchen wie etwa dem Bankensektor gibt es nicht zuletzt darum explizite Vorgaben zur Dienstleistersteuerung (z.B. die MaRisk).

Der Vortrag beschäftigt sich mit der Frage, wie mit der veränderten Risikosituation in der Praxis umgegangen werden kann. Themen werden z. B. sein:

Kritikalität der Auslagerung ++ Risikoanalyse und Folgenabschätzung ++ Behandlung von Risiken im IT-Outsourcing ++ gemeinsames Risikoverständnis bei Outsourcer und Service Provider ++ Möglichkeiten der Risiko-Steuerung in komplexen Weiterverlagerungsketten in der Praxis

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
16:00
Matthias Knoll
Hochschule Darmstadt
Softwareunterstützung für das IT-Risikomanagement-System
Hilfestellungen bei Auswahl und Einführung

Die Komplexität aktueller IT-Risiken, aber auch möglicher Behandlungsstrategien nimmt gerade vor dem Hintergrund der fortschreitenden Digitalisierung aller Lebens- und Arbeitsbereiche immer stärker zu. Entsprechend komplexer wird auch das Management dieser Risiken. Es ist daher hilfreich, geeignete Software zur Unterstützung der Elemente des IT-Risikomanagement-Systems einzusetzen. Ziel des Vortrags ist es, Entscheidungs- und Auswahlhilfen vorzustellen, die eine passgenaue Lösung für unterschiedliche Branchen und Unternehmensgrößen identifizieren helfen. Ein Blick auf den aktuellen Markt rundet den Vortrag ab.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
16:45
Reiner Kraft
Fraunhofer SIT
Mechthild Stöwer
Fraunhofer SIT
Abschlussdiskussion

Informationen und Kontakt

Wenn Sie noch Fragen haben, wenden Sie sich bitte an:

Moderation

Mechthild Stöwer
Fraunhofer SIT
E-Mail:

Administration

Claudia Prediger
CAST e.V.
Tel.: +49 6151 869-230
E-Mail:

Reiseplanung

Start


CAST e.V.
Rheinstraße 75
64295 Darmstadt

Kommende CAST Veranstaltungen

Hands-on: PKI in a nutshell 15.01.2020
eIDAS 2.0? Elektronische Vertrauensdienste auf dem Prüfstand 16.01.2020
hot topic: Security Operation Center und Advanced Persistent Threats 27.02.2020
Usable Security and Awareness 05.03.2020
Recht und IT-Sicherheit 12.03.2020
Automotive Security 23.04.2020
Quantentechnologie und Quantencomputer- resistente Sicherheit 14.05.2020
Mobile+Embedded Security 28.05.2020
Cloud Security 18.06.2020
19th International Conference of the Biometrics Special Interest Group (BIOSIG 2020) 16.-18.09.2020
hot topic 22.10.2020
CAST-Förderpreis IT-Sicherheit 26.11.2020
Forensik / Internetkriminalität 10.12.2020

Registrierung für die Volksverschlüsselung

Zusammen mit dem CAST e.V. bietet das Fraunhofer SIT im Rahmen der CAST-Workshops die Möglichkeit der Vor-Ort-Registrierung an. Möchten Sie diese Gelegenheit wahrnehmen, so bringen Sie hierfür bitte ein gültiges Ausweisdokument mit und tragen Vorname(n) und Nachname aus Ihrem Ausweis, sowie Ihre E-Mail-Adresse, für die Sie ein Zertifikat der Volksverschlüsselung beantragen möchten, in das Formuar ein. Sie können das Registrierungsformular auch vorab ausfüllen und zur Veranstaltung mitbringen.

Weitere Informationen finden Sie unter volksverschluesselung.de.