Home / Aktuelles & Termine / it.sec blog

it-sa 09 Interview 

Holger Heimann, Geschäftsführer der it.sec GmbH & Co. KG im Gespräch mit Marcus Beyer zu den Themen: Technokratie in Security-Projekten, Compliance und organisatorische Grundlagen:

Zum Video

Endlich: da kaufe ich mir einen Vulnerability Scanner/ein SIM/SIEM/wahlweise irgendwas anderes, und schwupp: compliant!

Den Herstellern von Produkten ist es ja nicht zu verdenken, dass sie die Nützlichkeit Ihrer Produkte zur Compliant-Werdung herausstellen. Eher erschreckend ist es, dass mit dieser Argumentation immer wieder in produktzentrischer Manier auch (mehr oder weniger) mal so eben gekauft wird. Dabei bestehen Vorgaben ("Controls") zu wie auch immer gearteter Compliance i.d.R. aus einer ganzen Reihe von technischen und auch organisatorischen Maßnahmen, welche wohldosiert und an der richtigen Stelle umgesetzt werden sollten - mit Maß und Verstand und vor allem mit einer definierten Zielsetzung. Die Zielsetzung beschreibt was erreicht werden soll - und vor allem auch was nicht.

Produkte alleine lösen diese Aufgabe nicht oder lösen auch schon mal Probleme, die man gar nicht hat - mit entsprechendem Ressourcenaufwand im Betrieb.

Beispielsweise ersaufen viele SIM/SIEM/IDS/IPS Projekte förmlich in Technokratie. Einmal ausgerollt hat mal möglicherweise wirklich das eine oder andere Control von vielleicht 100 weiteren des Frameworks XYZ erfüllt. Anstatt der noch fehlenden Controls werden aber oft nur die Möglichkeiten der Produkte ausgelotet: "whoa, was man da alles messen/scannen/xxx'en kann! Lass und das alles protkollieren!"

Auf die Frage wer das alles denn nun wie auswertet und vermittels welcher Prozesse die Daten wem, wannzur Verfügung gestellt werden, damit er damit was genau anfange sind die Antworten oft dünn: "Naja, das nutzen wir Abteilungsintern. Klar nicht immer, eben wenn jemand Zeit hat".

Das ist der falsche Weg. Richtiger ist es festzustellen, welche technischen und organisatorischen Anforderungen zur Lösung welcher Zielsetzung nötig sind und mit welchen Mitteln man die adressieren kann. Ihm Rahmen dieser Mittel ist festzulegen, wo die Grenzen des Nützlichen sind und was man tatsächlich benötigt, um welche Requirements zu adressieren. Und um den Rest aktiv wegzulassen.

ADCERT Anwendbarkeit Art. 17 DSGVO Art. 26 DSGVO Art. 32 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftsrecht Automatisierte Einzelentscheidung Autsch BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz Betroffenenrechte BfDI BGH Bußgeld Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzverletzung Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung Facebook Fahrzeugdaten Fahrzeuge Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Konzern konzerninterner Datentransfer Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft One Stop Shop Passwörter. 2016 Personalausweiskopien personenbezogene Daten Privacy by Default Privacy by Design Privacy Shield Profiling Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 42a BDSG § 42b BDSG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31