IT-Risikomanagement - fundiert und effizient
Herausforderungen und Beispiele guter Praxis

Termin: 28.09.2017
Dauer: 10:00-17:00
Ort: Fraunhofer SIT
Rheinstr. 75
64295 Darmstadt
Diese Veranstaltung wird als Weiterbildung im Sinne der T.I.S.P.-Rezertifizierung anerkannt

Programm

10:00
Begrüßung und Moderation
Reiner Kraft
Fraunhofer SIT
Reiner Kraft
Mechthild Stöwer
Fraunhofer SIT
Mechthild Stöwer
10:15
Michael Neuy
Beitragsservice
Michael Neuy
Methodische Fundierung des IT-Risikomanagements

Der Vortrag stellt das IT-Risikomanagement in den betrieblichen Kontext und zeigt die Verbindung zum Enterprise Risk Management auf. Nach einer Überleitung aus der Systematik des Risikomanagements wird der Aspekt der Risikoanalyse vertieft. Es werden exemplarisch mehrere Methoden der Analyse vorgestellt und bewertet. Abschließend wird noch auf Spezialaspekte eingegangen.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
11:00 Kaffeepause
11:15
Alex Didier Essoh
Bundesamt für Sicherheit in der Informationstechnik BSI
Alex Didier Essoh
Der neue BSI Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz

Mit dem BSI-Standard 200-3 stellt das BSI ein leicht anzuwendendes und anerkanntes Vorgehen zur Verfügung, mit dem Institutionen ihre Informationssicherheitsrisiken angemessen und zielgerichtet steuern können. Das Vorgehen basiert auf den elementaren Gefährdungen, die im IT-Grundschutz-Kompendium beschrieben sind und auf deren Basis auch die IT-Grundschutz-Bausteine erstellt werden. Dieser Standard bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit der IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 arbeiten und möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
12:00
Aleksandra Sowa
Deutsche Telekom AG
Aleksandra Sowa
Dynamisches IT-Risikomanagement

Wie der Meisterdetektiv Sherlock Holmes sagte: Es ist zwar schwierig, die Fakten zu sammeln, aber es ist noch weitaus schwieriger, aus diesen Fakten die richtigen Schlussfolgerungen zu ziehen. Auf Cybersicherheit trifft es direkt auf zweierlei Weise zu: Die wertvollen Security-Informationen im Internet verstecken sich in einer Masse von rund 2,5 Trillionen Bytes, die täglich neu erzeugt werden. Circa 90 % Davon liegen unstrukturiert vor. Immer mehr Informationen werden in Form von Video, Blogposts, Papers, Bilder oder PowerPoint-Präsentationen gespeichert. Diese Daten verwehren sich noch standhaft den (teil)automatisierten Auswertungen und Analysen. Schätzungsweise werden nur acht Prozent davon von Unternehmen im Schnitt ausgewertet. Der Anteil der strukturierten Daten, die für automatisierte Auswertungen oder Prognosen und Analysen geeignet sind wird auf max. 20 % geschätzt.

Unmittelbar von der wachsenden Menge an unstrukturierten Daten betroffen: die Risikobewertung und Risikoanalyse. Die traditionelle statische Risikoformel funktioniert dann gut und liefert zuverlässige Ergebnisse, wenn den Berechnungen ein korrekter statistischer Deduktionsprozess sowie zuverlässige (historische) Datenquellen und geprüfte Datenerzeugungsmechanismen zugrunde liegen. Kurz: sie funktioniert am besten, wenn genug objektive, sterile, zuverlässige strukturierte Daten vorliegen. Wie bereits Gordon und Loeb bemerkt haben, kann der Prozess zur Identifikation von Cybersecurity-Risiken auch abhängig von Organisationsform, Risikoeinstellung im Management oder Risikometrik verschiedene Formen annehmen. Liegen nur sehr wenige historische Daten vor, sollten diese individuell und besser gewichtet werden. Hierfür scheint die Bayessche Formel gut geeignet, da sie zudem praktischerweise auch Ereignisse berücksichtigt, die konsekutiv stattfinden und – einem Dominoeffekt ähnlich – aufeinander aufbauen (bedingte Wahrscheinlichkeit). Die Bayessche Formel wurde u.a. erfolgreich eingesetzt, um das Entstehen von Informationskaskaden auf den Finanz- und Aktienmärkten zu erklären (sogenanntes rationales Herdenverhalten oder „Bayessche Lemminge“). Die Formel von Bayes berücksichtigt damit historische Daten über zurückliegende Sicherheitsvorfälle, Attacken, Ausfälle et cetera zur Risikoeinschätzung zukünftiger Incidents.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
12:45 Mittagspause
13:30
Riccardo Bianchi
DHL Global Forwarding Management GmbH
Holistic IT risk management in implementation - challenges, solutions, recommendations

How is risk management implemented in an organization of more than 65000 employees over 120 countries? How do you coordinate between different risk appetites, risk perceptions, risk tolerances? How do you mitigate risks across the globe? How do you report to the board, and to the group CEO?

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
14:15
Alexander Geschonneck
Partner KPMG
Alexander Geschonneck
Cyber Risk Versicherungen. Luxus oder Notwendigkeit?

Mit dem rasanten Anstieg der Cyberangriffe steigt auch der Bedarf Restrisiken abzusichern. Klassische Versicherer haben den Cyber Risk Versicherungsmarkt für sich entdeckt und entwickeln fleißig Produkte. Die Kunden stehen nun vor der Herausforderung, das richtige Produkt zu wählen und dabei nicht dem Versuch zu unterliegen, alle Risiken der Versicherung zu überlassen. Der Vortrag beschreibt den aktuellen Markt, die Eigenschaften der Produkte und welche Fragen man sich als IT-Verantwortlicher hierzu stellen sollte.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
15:00 Kaffeepause
15:15
Kirsten Messer-Schmidt
excepture / GI-Fachgruppe „Management von Informationssicherheit“
Kirsten Messer-Schmidt
IT-Risikomanagement in Outsourcing-Beziehungen

Business Process Outsourcing, Outsourcing von IT-Entwicklung oder IT-Betrieb wie auch die Nutzung von Cloud-Lösungen sind häufig eine passende Antwort auf zunehmende Spezialisierung, Kostendruck und flexiblen Reaktionsbedarf im Umgang mit sich wandelnden Markterfordernissen.

Doch Outsourcing verändert die Risikosituation des auslagernden Unternehmens. Auch wenn die Service-Erbringung an Dritte übergeht, bleibt die Verantwortung gegenüber den eigenen Kunden beim Outsourcer. In regulierten Branchen wie etwa dem Bankensektor gibt es nicht zuletzt darum explizite Vorgaben zur Dienstleistersteuerung (z.B. die MaRisk).

Der Vortrag beschäftigt sich mit der Frage, wie mit der veränderten Risikosituation in der Praxis umgegangen werden kann. Themen werden z. B. sein:

Kritikalität der Auslagerung ++ Risikoanalyse und Folgenabschätzung ++ Behandlung von Risiken im IT-Outsourcing ++ gemeinsames Risikoverständnis bei Outsourcer und Service Provider ++ Möglichkeiten der Risiko-Steuerung in komplexen Weiterverlagerungsketten in der Praxis

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
16:00
Matthias Knoll
Hochschule Darmstadt
Softwareunterstützung für das IT-Risikomanagement-System
Hilfestellungen bei Auswahl und Einführung

Die Komplexität aktueller IT-Risiken, aber auch möglicher Behandlungsstrategien nimmt gerade vor dem Hintergrund der fortschreitenden Digitalisierung aller Lebens- und Arbeitsbereiche immer stärker zu. Entsprechend komplexer wird auch das Management dieser Risiken. Es ist daher hilfreich, geeignete Software zur Unterstützung der Elemente des IT-Risikomanagement-Systems einzusetzen. Ziel des Vortrags ist es, Entscheidungs- und Auswahlhilfen vorzustellen, die eine passgenaue Lösung für unterschiedliche Branchen und Unternehmensgrößen identifizieren helfen. Ein Blick auf den aktuellen Markt rundet den Vortrag ab.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
16:45
Reiner Kraft
Fraunhofer SIT
Mechthild Stöwer
Fraunhofer SIT
Abschlussdiskussion

Informationen und Kontakt

Wenn Sie noch Fragen haben, wenden Sie sich bitte an:

Moderation

Mechthild Stöwer
Fraunhofer SIT
E-Mail:

Administration

Simone Zimmermann
CAST e.V.
Tel.: +49 6151 869-230
E-Mail:

Reiseplanung

Start


CAST e.V.
Rheinstraße 75
64295 Darmstadt

Kommende CAST Veranstaltungen

CAST/GI Promotionspreis IT-Sicherheit 2024 10.04.2024
Künstliche Intelligenz und Cybersicherheit 16.05.2024
ID:SMART Workshop 2025 19.-20.02.2025