Glöckner & Schuhwerk auf dem 9. Tag der IT-Sicherheit
Karlsruhe. Ungefähr 120 Experten und Fachleute aus dem Bereich des Datenschutz, IT-Sicherheit und Informationssicherheit trafen sich am 28.06.2017 in der IHK Karlsruhe. Im Anschluss an die Begrüßung durch Herr Dr. Peter Fritz, Vorsitzender des Technologieausschusses der IHK Karlsruhe und die Einleitung von Herr David Hermanns, Geschäftsführer CyberForum e.V., ging es mit der Europäische Datenschutzgrundverordnung in die Vollen. Herr Dr. Stefan Brink, Landesbeauftragter für Datenschutz Baden-Württemberg, stellte in seiner Keynote die Europäische Datenschutzgrundverordnung vor und wies auf die wesentlichen Neuerungen im Datenschutz hin, die alle Unternehmen und Organisationen ab Mai 2018 betreffen. Dass sich das Strafmaß signifikant erhöht, war sicherlich vielen hinreichend bekannt, dass aber die Rolle der Datenschutzbeauftragten von Bund und Ländern sich verändern wird, möglicherweise nicht. Diese werden wohl zukünftig stärker Erfüllungsgehilfe der EU werden.
Unserem Landesdatenschutzbeauftragten folgt der Vortrag von Herr Klaus Keus vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Er vermittelte uns einen Überblick über die aktuellen Angriffsszenarien, das IT-Lagebild und mögliche Gegenmaßnahmen.
Seine Ausführungen zum Cybercrime mit reichhaltigen Auswertungen aus Statistiken und Umfragen des BSI zeigte ein enormes Bedrohungspotenzial. Das bedeutet, wer geglaubt hatte es wird besser wurde spätestens durch seinen Vortrag eines Bessern belehrt. Seine Trendanalyse für die kommenden Jahre verstärkte seine Aussage, dass die IT-Bedrohungen zunehmen werden und wir auch weiterhin Augen und Ohren offen halten sollen. Wir sollen die Aktivitäten für mehr Sicherheitsbewusstsein und Maßnahmen gegen IT-Sicherheitsvorfälle und Lücken aufrecht erhalten, ja sogar verstärken. Selbst das BSI hat begonnen, mit sogenannten mobilen Einsatzkräften bei Unternehmen und Organisation schnell zu helfen. Diese Einheiten werden sogar ausgebaut.
Jetzt hatten wir uns eine kleine Pause verdient, die zum Small Talk, Networking, Fachsimpeln etc.. genutzt werden konnte. Und selbstverständlich gab es auch etwas zu Essen und zu Trinken; für manch einen etwas Nervennahrung. Frisch gestärkt ging es in die zweite Runde des hoch spannenden Nachmittags.
Risikomanagement im Zeitalter der künstlichen Intelligenz von Herrn Rainer Kessler, Governance Concept GmbH, Fachhochschule Nordwestschweiz, war der nach meinem Befinden wirkliche Höhepunkt des Tages. Mit seinen Ausführungen und Perspektiven zeigte uns Herr Kessler ganz deutlich auf, wo die Reise in der digitalisierten Welt hingehen kann bzw. vielleicht auch hin gehen wird. Genaueres wissen wir wirklich erst in der Zukunft. Spätestens durch seinen Vortrag sollte jedem Zuhörer aber klar geworden sein, dass wir an vielen Stellen Nachholbedarf bei der IT-Sicherheit haben.
So war es im anschließenden Vortrag von Herrn Dr. Ulrich Pordesch, Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V., sehr erfreulich zu hören, dass auch die Forschungseinrichtung Fraunhofer-Gesellschaft Handlungsbedarf im Bereich Informationssicherheitsmanagement (ISM) erkannt hat. Nach fast zehnjähriger Anlaufphase scheint es, dass die Fraunhofer-Gesellschaft ein ISMS gemäß der DIN ISO 27001 aufgebaut hat. Befremdlich für mich war jedoch aus dem Vortrag herauszuhören, dass Forschungseinrichtungen und deren Mitarbeiter teilweise die Brisanz der IT-Sicherheitsvorfälle und die Wichtigkeit von ISM nicht verinnerlicht haben. Offensichtlich gibt es Mitarbeiter in Forschungseinrichtungen, die den wahren volkswirtschaftlichen Wert ihrer Forschungen für unsere Gesellschaft nicht erkannt haben. Ich persönlich würde Forschungseinrichtung dem gleichen Status unterwerfen wie Energieversorger und folglich als sicherheitskritische Infrastrukturen einstufen.
Manch ein Forscher hätte sich den Abschlussvortrag des 9. IT-Sicherheitstages von Armin Harbrecht und Andreas Sperber, aramido GmbH, ansehen und anhören sollen. Mit ihrem Social Hacking: Trickbetrug im Neuland führten sie live gängige Methoden vor, wie Unbefugte an sensible Informationen gelangen, um diese für ihre Aktivitäten zu nutzen. Ein Beispiel war der CEO-Fraud, ein Trickbetrug mit IT-Unterstützung, ein weiteres die Übernahmemöglickeit von E-Mailkonten, um diese auszulesen. Eigentlich nichts Neues! Aber erschreckend, dass es, obwohl seit Jahren bekannt, immer noch funktioniert. Und große Unternehmen, wie beispielsweise LEONI, die bei einer CEO-Fraud-Attacke angeblich 40 Mio. € gezahlt haben, kann es genauso treffen wie kleine Unternehmen.
Unser Fazit dieses Tages lautet:
„Es war eine exzellente Veranstaltung mit hochkarätigen Experten, die den eigenen Blick auf die IT-Risiken geschärft hat, und wir dürfen auf die Jubiläumsveranstaltung im nächsten Jahre sehr gespannt sein.“