ISACA Germany Chapter e.V. | ISACA Germany …...zum Beispiel seit kurzem gemeinsam mit der...

Artikel

4 ISACA — die Mitgliederzeitschrift 0516 5ISACA — die Mitgliederzeitschrift 0516

Liebe Mitglieder, liebe Leserinnen und Leser,

mit diesem Heft halten Sie die erste Ausgabe der neuen ISACA- Mitgliederzeitschrift in den Händen.

Sie wurde ins Leben gerufen, weil der Vorstand der Ansicht ist, dass wir im Verband nicht nur Fachthemen diskutieren und vertiefen sollten, sondern dass die ISACA als Organisation und Community von Experten deutlich sichtbarer werden soll: Eben als Berufsverband der Ex-perten, die sich mit der Kontrolle und der Sicherheit sowie dem Management und der Steuerung von Informationssystemen befassen.

Unsere Themen und damit auch ISACA Germany Chapter als Organi-sation haben sowohl in der politischen Öffentlichkeit wie auch in Unter- nehmen und Betrieben eine größere Wahrnehmung verdient — insbesondere bei unseren Kernkompetenzen IT-Audit, Informationssicherheit, und IT- Governance. In der Arbeit unserer Mitglieder und innerbetrieblich kommen noch weitere bedeutsame Themen hinzu, wie der Wertbeitrag der IT und dessen Nachweis (IT-Controlling), Business/IT-Alignment sowie IT-Risiko- und IT-Compliance-Management.

Vor diesem Hintergrund haben wir eine Veränderung der bisherigen Publikationsstrategie vorgenommen. Ihr Ziel ist es, neben der Vermitt- lung von Fachinformationen nach außen das Profil des Berufsverbands zu schärfen und nach innen den Community-Gedanken zu fördern.

Ganz konkret umfasst die Publikationsstrategie eine Erweiterung des bisherigen Publikationsportfolios um die „ISACA-Germany“ als die Mit- gliederzeitschrift des Chapters, neben den bekannten Formaten, der IT-Governance — als der Fachzeitschrift — und den Leitfäden.

Die neue Mitgliederzeitschrift erscheint mit zwei Ausgaben pro Jahr und berichtet schwerpunktmäßig über das Verbandsleben, Kongresse, Konferenzen und relevante Entwicklungen in der Praxis sowie Menschen, Märkte und aktuelle Trends in Informationssicherheit, IT-Compliance, IT-Risikomanagement und IT-Governance.

Wir hoffen, dass wir Ihnen, liebe Mitglieder und Leser, damit nützliche Informationen und Wissen bieten können und ein Portfolio bereitstellen, das Ihre Erwartungen trifft! Und wir würden uns freuen, wenn Sie sich durch eigene Beiträge hier und bei den anderen Publikationen einbringen!

P R O F . D R . M A T T H I A S G O E K E N

Hochschule der Deutschen Bundesbank

K A R I N T H E L E M A N N A N D R E A S H . S C H M I D T

Grußwort


Editorial

Das hier ist die neue Mitgliederzeitschrift des ISACA Germany Chapters. Wozu nun diese Zeitschrift? Schließlich hat unser Verein doch bereits eine Zeitschrift, die „IT-Governance“. Doch die „IT-Governance“ hat den An-spruch, in jeder Ausgabe ausschließlich längere Fachartikel auf wissen- schaftlichem Niveau rund um das Thema IT zu veröffentlichen. Geschrieben sind diese Artikel von Experten für Experten. Mit dieser neuen Mitglieder- zeitschrift verhält es sich ganz anders.

Ich selbst bin keine IT-Expertin, sondern Fachjournalistin und komme aus dem Bereich der Corporate Compliance, wo ich seit vielen Jahren arbeite und vernetzt bin. Studiert habe ich Geschichtswissenschaft und Politische Wissenschaft. Das Ziel meiner Arbeit an dieser neuen Mitglieder-zeitschrift ist es also, zur besseren Kommunikation und Vernetzung unter den Mitgliedern des ISACA Germany Chapters beizutragen. Denn oft ist es doch wie in einem Hochhaus: Man kennt seine eigenen Nach- barn nicht. Und in einem Verein mit 2.500 Mitgliedern und viel Spezial- Know-how, ist es sehr sinnvoll, dass man seine „Nachbarn“ kennt. Das bringt persönlichen Mehrwert.

Wussten Sie zum Beispiel, dass der Vorstand seit vielen Jahren interes-sante Kooperationen mit verschiedenen Organisationen pflegt, damit Sie als Mitglied möglichst viel von Ihrer Mitgliedschaft haben? Oder: Was passiert gerade in den Fachgruppen? Welche Strategie verfolgt der Vorstand? Wie kann ich mich am besten weiterentwickeln, sowohl im Hinblick auf die Karriere als auch bezüglich des eigenen Wissensstands? Gibt es Mitglieder, die eventuell über das gleiche Thema wie ich selbst gerade nachdenken?

Mit dieser Mitgliederzeitschrift wollen wir Sie zweimal im Jahr über das Leben im Verband informieren. Wir möchten, dass Sie die Möglichkeiten, die Ihnen der ISACA Germany Chapter bietet, optimal für sich selbst, Ihre tägliche Praxis und Ihre Weiterentwicklung ausschöpfen.

Für Ihre Ideen und Feedback wäre ich Ihnen selbstverständlich sehr dankbar! In diesem Sinne wünsche ich Ihnen interessante Lektüre!

Liebe Leserin,lieber Leser!

I h r e

I R I N A J Ä K E L

Editor in Chief

Inhalt

06

08

14

18

20

24

28

32

36

40

In aller Kürze

Interview

Kurzbericht

Termine

Bericht

Interview

IT-Sicherheitsgesetz

Interview

Studie

Impressum

Aus der Welt der IT

Vorstand: Unser Ziel, unsere Aufgaben und Herausforderungen

Gründung DAGSA

Veranstaltungen, Seminare, Prüfungen

COBIT-Tagung

Boban Krsic über die Arbeit der Fachgruppe Informationssicherheit

Der Stand der Dinge

Dr. Karl-Friedrich Thier über das Erreichte und die Ziele der Fachgruppe Cloud Computing

Bereit zur Cyber-Schlacht?


Kurzmeldungen

WLAN-Anbieter nicht für Rechtsverletzungen haftbar

Für viel Wirbel hat eine Äußerung des Generalan-walts beim Europäischen Gerichtshof, Maciej Szpunar gesorgt. In den Medien wurde er wie folgt zitiert: „Der Betreiber eines Geschäfts, einer Bar oder eines Hotels, der der Öffentlichkeit ein WLAN-Netz kostenlos zur Verfügung stellt, ist für Urheberrechtsverletzungen eines Nutzers nicht verantwortlich. Auch ist es unzulässig, von WLAN-Betreibern zu verlangen, den Internetan-schluss durch ein Passwort zu sichern.“ Jetzt muss nur der EuGH dieser Einschätzung im Prozess des Piraten-Politikers Tobias McFadden gegen den So-ny-Konzern folgen, dann müssten alle EU-Länder ihr Recht diesbezüglich anpassen.Digital Society Institute

Berlin (DSI) gegründet

Wussten Sie, dass

der Board of Directors von ISACA in den USA aus 15 Mitgliedern besteht, die aus 8 Staaten kommen: Griechenland, Niederlande, Australi-en (3 Mitglieder), USA (6 Mitglieder), Singapur, Brasilien, UK und Indien. Damit sind die USA mit einem Anteil von 40 Prozent und Australien mit 20 Prozent am Board of Directors beteiligt.

und wussten Sie außerdem, dass

Nigeria 4 ISACA Chapter hat, Großbritannien 5 ISACA Chapter und Indien 12 ISACA Chapter?

NEW

1

2 3In aller Kürze

An der Berliner Privatuniversität European School of Management and Technology (ESMT) wurde öffentlichkeitswirksam und mit viel Unterstüt-zung aus der hohen Politik der neue Thinktank zur Digitalisierung, das Digital Society Institute Berlin (DSI) eröffnet. An seiner Finanzierung beteiligen sich Volkswagen, Allianz, BASF und EY. Ange-führt wird das DSI vom Cybersicherheitsexper-ten Sandro Gaycken und der Chef der Münchner Sicherheitskonferenz, Wolfgang Ischinger, ist dort der Vorsitzende des Beirats. Das Ziel des DSI ist es „…to deliver the ingredients for digital wisdom. The Institute will be decidedly independent, inter- and transdisciplinary, intelligible and pragmatic. It will aggregate and develop basic research using methodological approaches and theories and combine them with an application-oriented and holistic viewpoint, thereby providing metrics and frameworks to measure, understand and predict the digital world, and to develop responsible stra-tegies for our digital future.“

Artikel


Unsere Strategie ist die

Professionalisierung

Karin Thelemann, Präsidentin, und Stefan Wittjen, Vizepräsident Finanzen & Verwaltung des ISACA Germany Chapters, sprechen über die strategische Ausrichtung des

ISACA Germany Chapters.

V O N I R I N A J Ä K E L

Frau Thelemann, Herr Wittjen, derzeit verfolgenden Sie als Vorstände von ISACA Germany Chapter sehr stark das Ziel der Professionalisie-rung. Was verstehen Sie darunter?

KARIN THELEMANN (KT) Vor mehr als drei Jah-ren haben wir uns in einer Strategiesitzung überlegt, welche Ziele wir als Verein verfolgen wollen, was soll die Ausrichtung sein, welche Themen sind für unsere Mitglieder wichtig, um entsprechend die Zukunft des ISACA Germany Chapter und unserer Mitglieder vo-ranzutreiben. Wir wollen unseren Mitgliedern einen Mehrwert für ihren Beruf, ihre Karriere und ihre Wei-terentwicklung bieten. Gleichzeitig haben wir uns viele Gedanken darum gemacht, wie wir unsere Mit-glieder dazu bewegen können, aktiv am Vereinsleben teilzunehmen. Wir haben allerdings auch verstan-den, dass zur Professionalisierung des ISACA Germa-ny Chapter auch dazu gehören muss, dass wir uns als Vorstand ebenfalls die Frage der Effizienz stellen.

Denn wir sind für das ISACA Germany Chap-ter ehrenamtlich neben unserem Vollzeitberuf als Vorstände tätig und haben gemerkt, dass wir uns hauptsächlich mit administrativen Dingen beschäf-tigen, strategische Dinge geraten da schnell aus dem Blickfeld. Wir waren zum Beispiel viel zu viel mit der Organisation der Schulungen, Rechnungserstellung und Administration beschäftigt und weniger mit der strategischen Neuausrichtung unseres Schulungs-konzeptes.

STEFAN WITTJEN (SW) Mit der Zeit ist das ISACA Germany Chapter auf rund 2.500 Mitglieder angewachsen. Es wurde uns als Vorstandsmitglieder immer deutlicher, dass für uns im Rahmen unserer ehrenamtlichen Tätigkeit an eine aktivere deutsch-landweite Betreuung unserer Mitglieder nicht zu denken ist. Wir haben uns daher mehrere Optionen überlegt, darunter auch die Möglichkeit, eine ei-gene ständige Vereinsvertretung aufzubauen mit Geschäftsführung und weiteren Angestellten. Al-ternativ dazu bestand die Wahl eines externen Dienst-leister. Nach ausführlicher Auswahl und Prüfung so-wie zwei Jahre lang dauernden Verhandlungen haben wir Ende letzten Jahres die Kooperationsverträge mit der Quadriga Media GmbH und der angeschlossenen Quadriga Akademie Berlin GmbH unterschrieben.


Interview — Vorstand ISACA Germany Chapter

Warum haben Sie sich ausgerechnet für diesen Dienstleister entschieden?KT Wir haben uns im Vorfeld sehr ausführlich informiert und uns auch mit Vorständen von anderen Verbänden ausge-tauscht. Der Hauptgrund, warum wir uns für Quadriga Media Berlin entschieden haben, ist, weil wir uns am meisten von diesem Unternehmen versprechen, die Ziele Effizienzstei-gerung und Professionalisierung vorantreiben zu können. Quadriga Media Berlin hat schon mehrere Vereine erfolgreich in Deutschland etabliert und bekannt gemacht. Sie überneh-men die Organisation von Konferenzen, Veranstaltungen und Kongressen und sie entwickeln Marketingaktivitäten. Wir haben nun eine neue Mitgliederzeitschrift und wir haben mit ihrer Hilfe eine Akademie gegründet, die DAGSA, wo unsere Schulungen und Zertifizierungen gebündelt und als eine Ein-heit angeboten werden. Natürlich kommen die Ideen, The-men, Referenten, das Material und dergleichen von uns. Aber sie übernehmen die Organisation und die Abwicklung.

Darüber hinaus befindet sich Quadriga Media in Berlin, also nah an den politischen Kreisen. Wir versprechen uns da-her, dass sie uns ebenfalls dabei hilft, unseren Vereinsnahmen publik zu machen, so dass die Expertise von ISACA Germany Chapter auch von der Regierung und den entsprechenden Mi-nisterien wahrgenommen wird. Denn wir haben ein Produkt, COBIT, das sehr stark am Markt bekannt ist. Aber den Ver-einsnamen ISACA kennen die wenigsten. Wir wollen den Ver-ein, den Namen ISACA publik machen und dass der Verein in den politischen Kreisen bekannt ist. Denn es gibt in Deutsch-land kaum ein Institut, das so ein geballtes Wissen im Bereich IT-Audit, IT-Security und IT-Governance hat, wie wir.

SW Wichtig ist, dass Quadriga Media im Rahmen des Ver-bandsmanagements sämtliche administrativen Aufgaben übernimmt. Für mich als Schatzmeister betrifft das insbeson-dere auch die Finanzbuchhaltung. Bisher hatten wir die Ein-nahmen-Ausgaben-Rechnung in einer Excel-Tabelle geführt. Dies hat zwar gut funktioniert, erfüllte aber nicht die Erfor-dernisse eines großen Berufsverbands mit hohem Belegauf-kommen. Auch waren keine dedizierte Budgetierung und Fi-nanzplanung sowie ein kontinuierliches Reporting möglich. Es gab also mehrere Gründe, warum wir uns nach einer reifli-chen Abwägung der Kosten gegen Nutzen für Quadriga Media entschieden haben. Trotz der Kosten des externen Verbands-managements planen wir übrigens derzeit keine Erhöhung des Chapter-Beitrags für die Mitglieder.

»Wir wollen unseren Mitgliedern einen Mehrwert für ihren Beruf und ihre Weiterentwicklung bieten. Mit der Strategie der Professionalisierung muss auch der Vorstand seine Arbeit effizienter gestalten.«

>

Ste

fan

Wit

tjen

und

Dr.

Tim

Sat

tler

(Fac

harb

eit

und

Arb

eits

krei

se)

bei d

er G

loba

l Lea

ders

hip

Con

fere

nce

der

ISA

CA

in L

issa

bon

14 ISACA — die Mitgliederzeitschrift 0516

Interview — Vorstand ISACA Germany Chapter

Sie sind in den letzten Jahren viele Kooperationen mit anderen Verbänden und Organisationen eingegangen. Was möchten Sie damit erreichen?

SW Durch die Kooperationen mit anderen Verbänden und Unternehmen ergeben sich viele Synergieeffekte. Das hilft uns dabei, uns breiter aufzustellen, mit Entwicklungen in den benachbarten Disziplinen Schritt zu halten und schnel-ler sinnvolle Konzepte erfolgreich umzusetzen. So bieten wir zum Beispiel seit kurzem gemeinsam mit der Hamburger IBS Schreiber GmbH, einem auf SAP-Schulungen spezialisierten Dienstleister, die Zertifizierung zum Certified Auditor for SAP (CASAP) an. Die begleitende Schulung zur Zertifizierung wird seitens des Dienstleisters entwickelt, wir stellen die Qualität der Zertifizierung in unserem Namen sicher. Ich bin mir si-cher, diese bislang weltweit einmalige Zertifizierung wird eine hohe Resonanz in der Branche der IT-Prüfung erhalten.

Viele Verbände haben ihre Mühe, ihre Mitglieder zur aktiven Vereinsarbeit zu bringen. Welche Konzepte haben Sie dazu entwickelt?

SW Das stimmt in der Tat. In einem Verband ist immer ein sehr geringer prozentueller Anteil der Mitglieder wirklich ak-tiv. Wir verfolgen hier mehrere strategische Konzepte. Zum einen fördern wir unseren akademischen Nachwuchs.

Dazu haben wir jüngst eine Fachgruppe ins Leben geru-fen, bei der es nur darum geht, junge Professionals zu fördern, indem wir zum Beispiel für bestimmte Leistungen Auszeich-nungen vergeben. Hier wollen wir die jungen IT-Experten schon frühzeitig unserem Berufsverband näher bringen und auch in Richtung unserer beruflichen Qualifikation entwi-ckeln. Derzeit herrschen ja am Arbeitsmarkt dramatische Res-sourcen-Probleme was IT-Experten angeht.

Zum anderen denken wir derzeit über regionale Struk-turen für Networking-Events nach. Wir wollen damit den Erfahrungsaustausch zwischen Mitgliedern und weiteren interessierten Personen fördern sowie die lokalen Struktu-ren ausbauen. Zur Aktivierung der Mitglieder und zur Erhö-hung der regionalen Wahrnehmung des Verbands muss man deutschlandweit Präsenz zeigen. Bislang haben wir derartige Events themenbezogen als Focus Events bei Unternehmen vornehmlich in der Frankfurter Region durchgeführt. Dieses Konzept planen wir auszubauen, z. B. mittels Stammtischen, und im Sinne der Regionalstrukturen zu erweitern.

In unseren bundesweit ansässigen Fachgruppen haben die Mitglieder weiterhin die Möglichkeit, an Themen, in denen sie Experten sind, aktiv mitzuarbeiten. Dieses bewährte Kon-zept bauen wir sukzessive aus. Die Fachgruppen sind das Herz unseres Verbandes und stellen sowohl für die Mitglieder als auch für den Verband den größten Mehrwert bei der Erarbei-tung gemeinsamer Projekte dar. Ich kann an dieser Stelle jedes Mitglied nur ermuntern, sich einer Fachgruppe im jeweiligen Interessensfokus anzuschließen.

Kooperationen des ISACA Germany Chapters

Frankfurt School of Finance & Management

2008

Entwicklung und Durchführung von Seminaren in der sog. Executive Education; Angebot hochwerti-ger Kurse mit einer Mischung aus Theorie und Pra-xis und einem anerkannten Qualifizierungsnach-weis. Etablierung eines Zertifikatsabschlusses auf Management-Level zu den Themen IT-Governance und IT-Compliance.

Regelmäßige, halbjährliche Zertifikatsstudiengänge mit bis zu 20 Teilnehmern zum IT-Governance_Ma-nager und IT-Compliance-Manager. Einmalige Kombination aus Wissenschaft und Praxis, attrak-tiver Vorzugspreis für ISACA-Mitglieder: www.fs.de/it-governance bzw. www.fs.de/it-compliance

Ausbau und Weiterentwicklung von hochwertigen Zertifikatsstudiengängen für Manager und erfah-rene Berater, Prüfer und Auditoren rund um das Thema IT-Governance.

Europäische Fachhochschule (EUFH) in Brühl

2013

Gemeinsame Entwicklung und Akkreditierung eines Masterstudiengangs IT Audit & Assurance.

Der akkreditierte Masterstudiengang IT Audit & Assurance wird von der EUFH angeboten.

ISACA Germany Chapter plant, auch mit anderen Hochschulen bei Angebot von Studiengängen zusammen zu arbeiten.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

2015

Erarbeitung gemeinsamer Veröffentlichungen im Rahmen der Allianz für Cyber-Sicherheit.

Gemeinsame Entwicklung des Leitfadens „Cy-ber-Sicherheits-Check“ und des Zertifikatskurses „Cyber Security Practitioner“ (CSP)

Entwicklung eines Leitfadens zur Cyber-Sicherheit von industriellen Steuerungssystemen (ICS) und Aktualisierung des Leitfadens „Cyber-Sicher-heits-Check“

IBS Schreiber GmbH (IBS)

2016

Verbesserung der beruflichen Qualifizierung bei der Prüfung von SAP-Systemen

Gemeinsame Konzeption der Zertifizierung zum „Certified Auditor for SAP“ (CASAP). Die Schulung wurde in wesentlichen Teilen von IBS Schreiber entwickelt; ISACA Germany Chapter sichert die Qualität der Prüfung.

Etablierung der CASAP-Zertifizierung als De-Fac-to-Qualifizierungsstandard für die Prüfung von SAP-Systemen.

Symposion Verlag

2015

Erstellung eines interaktiven E-Learning-Zertifi-kats-Kurses zu COBIT 5

E-Learning-Kurs ist erstellt und steht sowohl für Einzelpersonen als auch für Firmen zur Verfügung; attraktiver Vorzugspreis für ISACA-Mitglieder: www.symposion.de/eLearning/rest/eLearning/start?login=isacamitglied9002020

Zielgruppe des E-Learning-Kurses sind insbeson-dere auch Unternehmen, die den Kurs intern zur effizienten Wissensvermittlung einsetzen. Zwei Unternehmen haben bereits erste Vereinbarungen getroffen. Weitere Kurse zu den Themen IT-Sicher-heit, IT-Risikomanagement oder IT-Compliance sind denkbar.

Risk Management Association e.V. (RMA)

2014

Die Intensivierung des Austausches der Mitglieder beider Organisationen auf dem Gebiet des IT-Risi-komanagements

Von der Fachgruppe IT-Risikomanagement und der RMA , unter Leitung von Michael Neuy, entwi-ckelter „Leitfaden zur Anwendung der ISO 31000

Kooperation mit

Seit

Ziel

Bisher erreicht/ Nutzen für Mitglieder

Ausblick für zukünftige Kooperationsziele

Kooperation mit

Seit

Ziel



Kooperation mit

Seit

Ziel



Kooperation mit

Seit

Ziel



Kooperation mit

Seit

Ziel



Kooperation mit

Seit

Ziel



in der IT“.Erarbeitung weiterer nutzbringender Arbeitsmaterialien für die Mitglieder beider Organisationen

>

15ISACA — die Mitgliederzeitschrift 0516

Artikel


DAGSA: Schlüssiges Konzept und

ISACA Germany Chapter hat seit Anfang 2016 eine eigene Akademie — DAGSA. Welches Konzept der Akade-mie zugrunde liegt und was sie Ihnen

bieten kann, das erfahren Sie hier.


Anfang des Jahres 2016 wurde die neue Akademie der ISACA Germany Chapter, die Deut-sche Akademie für IT-Gover-

nance, IT-Security, IT-Audit, kurz DAG-SA, gegründet. Es handelt sich dabei um eine Kooperation zwischen dem ISACA Germany Chapter und der Quadriga Akademie Berlin GmbH.

Warum nun diese Akademie? „Der Ausgangspunkt war, dass wir als ISA-CA Germany Chapter die Verpflichtung haben, unseren Mitgliedern die Aus-bildungsmöglichkeiten zu bieten, die sie benötigen“, erklärt Markus Gaulke, Vorstand für Aus- und Weiterbildung des ISACA Germany Chapter. Nun ist es nicht so, dass im Punkt Aus- und Weiterbildung der ISA-CA Germany Chapter seit seiner Gründung bis 2016 nichts getan hätte. Ganz im Gegenteil: 2006 ent-wickelte ISACA Germany Chapter das erste Zer-tifikatskonzept für das Thema COBIT. Im selben Jahr wurde dann erstmals in Zusammenarbeit mit dem Institut für Informa-tik und Wirtschaftsinfor-matik der Universität Du-isburg Essen ein COBIT Basic Practitioner-Lehr-gang als Pilotkurs durch-geführt. Dieser Kurs war dann die Basis für die Kurse COBIT Basic Practitioner und COBIT Practitioner, die ab dem Folgejahr angeboten wur-den. 2008 wurde in Ko-operation mit der Frank-furt School of Finance & Management der weiter-führende Zertifikatskurs IT-Governance-Manager entwickelt.

Dem folgte zwei Jahre später noch der Zertifikatsstudiengang IT-Compliance-Manager. „Wir wollten immer mehr machen und hatten viele Ideen gehabt. So haben wir zum Beispiel in den letzten Jahren die Kurse Cyber-Se-curity-Practitioner und IT-Risk-Practi-tioner als neue Zertifikatskurse entwi-ckelt“, erklärt Gaulke. „Aber wir haben

gesehen, dass unsere Mitglieder noch mehr Ausbildung brauchen als wir aus unserer eigenen Kraft anbieten konnten. Außerdem wollten wir alles rund ums Thema Weiterbildung und Zertifizierung besser verknüpft und als stimmiges Gan-zes aufsetzen.“

Das Konzept

Die Vision war, dass die Kurse nicht nur in der thematischen Breite alle bei ISACA versammelten Berufsgruppen anspre-chen sollten, sondern auch sowohl den Berufseinsteigern als auch schon Erfah-renen viel bieten.“ Genau diese Idee hat schließlich zur Gründung der DAGSA

Anfang 2016 geführt. „Wir haben nun ein zusammenhängendes Konzept, die Kurse sind untereinander verbunden und wir sprechen die Berufsgruppen in jedem Stadium der Berufspraxis und Berufserfahrung an“, sagt Gaulke. „So bieten wir zum Beispiel bereits im Vor-

feld der internationalen Berufszertifi-zierungen der ISACA berufsbegleitende Fach- und Vorbereitungskurse an.“ Der Stundenplan ist frei gestaltet, das be-deutet, dass man sich die Kurse je nach Interessensgebiet und Erfahrungsstufe aussuchen kann. Die Kurslänge beträgt zwischen zwei und sechs Tage und die Kurse werden an verschiedenen Stand-orten in Deutschland angeboten. „Für jeden Kurs bekommt man eine Bestäti-gung der Fortbildungsstunden in Form von CPE-Punkten. Dadurch könnten die Berufsträger ihre Pflicht zum Nachweis der eigenen Fortbildung erfüllen“, so Gaulke.

Für alle Kurse der DAGSA ist eine Abschlussprüfung vorgesehen. Dies

dient insbesondere der Qualitätssicherung des Lernerfolgs. Die erfolgrei-chen Absolventen erhal-ten ein anerkanntes Zer-tifikat des ISACA Germany Chapters. Doch die Quali-tätssicherung wird nicht lediglich am Gelernten an-gewandt. Alle an der DAG-SA angebotenen Kurse durchlaufen einen Quali-tätscheck durch die Fach-gruppen des ISACA Ger-many Chapters, aber auch durch den Vorstand selbst und den akademischen Ausschuss. Daneben wer-den die Kursteilnehmer aufgefordert, selbst ihre Meinung zum jeweiligen Kurs abzugeben. „Wir fra-gen die Teilnehmer syste-matisch ab und nehmen ihr Feedback sehr ernst“, sagt Gaulke.

Unter dem Dach der DAGSA haben bereits die ersten bewährten Kurse stattgefunden. Die Mehr-heit der Kurse ist aber für das zweite Halbjahr ange-setzt, weil neue Kurse erst

konzipiert werden mussten und das An-gebot im Markt bekannt gemacht wer-den muss.

Für viele Teilnehmer der Semina-re ist die Erlangung einer international anerkannten Zertifizierung wichtig. Auch daran wurde im DAGSA-Konzept

gesicherte Qualität

>

Gründung der DAGSA

Seminar Bedeutung Seminarinhalte

Foundation Level

ITGCB Zertifikatskurs zum IT-Governance & IT-Compliance Ba-sic gem. Zertikats-konzept des ISACA Germany Chapters

• Grundlagen der IT-Governance und IT-Compliance• Anspruch und Bedeutung von COBIT 5• Die fünf COBIT-Prinzipien• COBIT 5-Enabler und deren Dimensionen• COBIT 5-Prozessreferenzmodell• COBIT 5-Zielkaskade• COBIT als Bewertungsmodell, Integrationsmodell und IT-Compliance-Modell• COBIT 5–Implementierungsmöglichkeiten

COBIT Foundation Zertifikatskurs zum COBIT Foundation Exam gem. Zerti-katskonzept der ISACA International

• Verständnis von Governance und Management von IT• Sensibilisierung von Unternehmens- und IT-Leitung• Bewertung des aktuellen Zustands der IT auf Abteilungs- oder Unternehmensebene• Auswahl der zur Anwendung geeigneten COBIT 5 Aspekte

CS Fundamental Zertifikatskurs zum CyberSecuri-ty Fundamentals Certificate gem. Zertikatskonzept der ISACA Interna-tional

• Cybersecurity concepts• Cybersecurity architecture principles• Cybersecurity of networks, systems, applications and data• Incident responses• Security implications of the adoption of the emerging technologies

Practitioner Level

ITGCP Zertifikatskurs zum IT Governan-ce & Compliance Practitioner gem. Zertikatskonzept des ISACA Germany Chapters

• Die IT-Governance- und -Compliance-Prozesse und deren Umsetzung verstehen• Die COBIT 5-Prinzipien und deren Wirkung auf die IT-Governance und die IT-Compliance kennenlernen• Die COBIT 5-Zielkaskade zur Erfüllung der Anforderungen aller Anspruchsgruppen eines Unternehmens anwenden können• Den Einsatz der sieben Enabler in Unternehmen zur Erreichung der Geschäfts- und IT-Ziele verstehen• Prozessqualität mit Hilfe des ISO 15504 Reifegradmodells analysieren• Initiativen zur Verbesserung des Wertbeitrages der Unternehmens-IT mit Hilfe des COBIT 5 Implementie-rungs-Lebenszyklus umsetzen

ITRP Zertifikatskurs zum IT-Risk-Practitioner gem. Zertikats-konzept des ISACA Germany Chapters

• (IT-)Risikomanagement und die dahinter stehenden Konzepte erläutern können• Anforderungsgerechte Prinzipien und Richtlinien für das IT Risikomanagement im Unternehmen erstellen können• Aufbau und Inhalte des Rahmenwerkes „COBIT 5 for Risk“ kennen• Integration von „COBIT 5 for Risk“ mit COBIT und anderen Rahmenwerken kennen• Wirkung der COBIT-Prinzipen auf das Risikomanagement kennen• Gute Praktiken für die Risiko-Funktion und das Risikomanagement erläutern können• Die wichtigsten Rahmenwerke und Standards für Risikomanagement (ISO/IEC 27005, ISO38000, COSO ERM) kennen

ITAP Zertifikatskurs zum IT Assurance Practitioner gem. Zertikatskonzept des ISACA Germany Chapters

• COBIT 5 for Assurance• ISACA IS Audit/Assurance Framework (ITAF)• Kernelemente (Enabler) einer Assurance-Funktion• Phasen des Audit/Assurance-Prozesses• COBIT for Assurance und ITAF im Verhäl tnis zu anderen Standards und Praktike

COBIT Assessor Zertifikatskurs zum COBIT Assessor Exam gem. Zerti-katskonzept der ISACA International

Der Kurs beinhaltet im Wesentlichen die Inhalte des „COBIT 5 - Assessment Programme“. Dieses bestehtaus den Dokumenten• COBIT® 5-Process Assessment Model (PAM)• COBIT® 5-Assessor Guide und• COBIT® 5-Self Assessment.

COBIT Implementation Zertifikatskurs zum COBIT Foundati Implementation on Exam gem. Zerti-katskonzept der ISACA International

Es ist das von der APMG International im Auftrag der ISACA akkreditierte Aufbauseminar zum Rahmenwerk COBIT® 5 und deren Umsetzung in der Praxis.Der Kurs beinhaltet die Inhalte des Dokumentes COBIT® 5 - Implementation

CSP Zertifikatskurs zum Cyber-Securi-ty-Practitioner gem. Zertikatskonzept des ISACA Germany Chapters

Einführung in das Thema Cyber-SicherheitLeitfaden „Cyber-Sicherheits-Check“Aktuelle BedrohungslageFallstudie zum Cyber-Sicherheits-CheckFragen & Diskussion PrüfungsvorbereitungZertifikatsprüfung

ITISP Zertifikatskurs zum Information Securi-ty Practitioner gem. Zertikatskonzept des ISACA Germany Chapters

• Umgang mit dem Leitfaden COBIT 5 for Information Security• Aufbau eines Informationssicherheitsmanagementsystems• Integration von Informationssicherheit in ein Unternehmen• Gute Praktiken für Organisation, Prozesse und Services im Zusammenhang mit Informationssicherheit

Manager Level

ITGM Zertifikatskurs zum IT-Governan-ce-Manager gem. Zertikatskonzept des ISACA Germany Chapters

• Grundlagen der IT-Governance• IT-Governance und Information Governance mit COBIT 5• Referenzmodelle und Frameworks im COBIT-Umfeld• Ergänzende Methoden und weitere Entwicklungen

ITCM Zertifikatskurs zum IT-Complian-ce-Manager gem. Zertikatskonzept des ISACA Germany Chapters

• Trends und Treiber der Compliance und IT-Compliance• Regulierung und Standardisierung• Unterstützende Referenzmodelle• Managementanforderungen

ITAM (geplant) Zertifikatskurs zum IT-Audit-Manager gem. Zertikats-konzept des ISACA Germany Chapters

• Einführung in die IT-Revision, Prüfungsgrundlagen und Prüfungsvorgehen• Grundlagen der Prüfung von Rechenzentren, Betriebssystemen, Netzwerken und Datenbanken• Grundlagen der Prüfung von Informationsrisiko- und Informationssicherheitsmanagement• Grundlagen der Prüfung von IT-Sourcing• Grundlagen der Prüfung des IT-Notfallmanagements• Grundlagen der Prüfung von IT-Prozessen und des IT-IKS• Grundlagen der Prüfung von IT-Strategie und IT-Steuerung• Grundlagen der Prüfung von IT-Projekten• Einführung in die Methoden der Datenanalyse

Vorbereitungskurse zur Berufszertifizierung

CGEIT Certified in the Governance of Enterprise IT

Vorbereitend empfehlen wir die Kurse ITGM und ITCM

CISA Vorbereitungskurs zum Certified In-formation Systems Auditor

Im Rahmen des 4-tägigen Kurses werden die wesentlichen Inhalte aller fünf CISA-Domänen behandelt:• IT-Audit Prozess• IT-Governance, IT-Management sowie Business Continuity Management• Beschaffung, Entwicklung und Implementierung von Informations-Systemen• Betrieb, Wartung und Support von Informations-Systemen• Informationssicherheit

CRISC Certified in Risk and InformationSystems Control

Vorbereitend empfehlen wir die Kurse ITGCP und ITRP

CISM Vorbereitungskurs zum Certified In-formation Systems Auditor

Im Rahmen des Kurses werden wesentliche Inhalte aller 4 CISM-Domänen behandelt:• Information Security Governance• Information Risk Management und Compliance• Information Security Program Development und Program Management• Information Security Incident Management

gedacht und es berücksichtigt. „Wir bieten jetzt auch die international ent-wickelten ISACA-Kurse an, was wir früher nicht konnten. Denn es ist sehr aufwändig, solche Kurse anzubieten, weil beispielsweise auch die Trainer zwingend international akkreditiert sein müssen“, erklärt Gaulke.

Als internationale Kurse sind bisher COBIT Foundation, COBIT Im-

plementation und COBIT Assessor buchbar. „Diese Kurse sind auf Deutsch – auch wenn sie auf internationalen Rahmenwerken beruhen, die teilweise nur auf Englisch verfügbar sind. Wich-tig für uns war, dass wir die Theorie, die wir in den Kursen vermitteln, von den Teilnehmern in die deutsche Praxis um-gesetzt werden kann. Das ist ebenfalls gewährleistet“, sagt Gaulke.

Welche Lehrgänge die DAGSA, nun anbietet, dazu geben die Graphik auf S. 17 und die folgende Übersichtstabelle eine Auskunft. Weitere Informationen finden Sie auf der Homepage der Akademie: www.dagsa.eu

>

>

>

19ISACA — die Mitgliederzeitschrift 0516 18 ISACA — die Mitgliederzeitschrift 0516


Termine 2016

Seminare Kongress

IT ASSURANCE PRACTITIONER

I T A P

IT Assurance PractitionerSeminar 1 Frankfurt am Main 19. — 20. Mai 2016

Seminar 2 Düsseldorf

8. — 9. September 2016

Seminar 3 Frankfurt

24. — 25. November 2016 Anmeldung www.dagsa.eu/seminare/itap

IT COMPLIANCE MANAGER

I T C M

IT-Compliance-ManagerBlockseminar im Frühjahr 2016: 25. — 29. April 2016 Frankfurt am Main

oder

3 Monate im Herbst 2016:

Frankfurt am Main

Tag 1 — 2: 29. — 30. September 2016

Tag 3 — 4: 13. — 14. Oktober 2016

Tag 5 — 6: 27. — 28. Oktober 2016

Anmeldung www.dagsa.eu/seminare/itisp

IT-GRC-Kongress15. — 16. September 2016 Berlin

Anmeldung www.dagsa.eu/it-grc-kongress

Cyber Security Tagung01. Dezember 2016 Berlin

Anmeldung www.dagsa.eu/tagungen

Weitere Veranstaltungen findenSie unter www.dagsa.eu

CISM ExamensvorbereitungSeminar 1 Frankfurt am Main 20. — 21. Mai 2016

Seminar 2 Berlin 18. — 19. November 2016

Anmeldung www.dagsa.eu/seminare/cism

COBIT® 5 Assessor22. — 24. Juni 2016 Frankfurt am Main

Anmeldung www.dagsa.eu/seminare-cobitr-5

COBIT® 5 FoundationSeminar 1 Frankfurt am Main 20. — 21. Juni 2016

Seminar 2 Frankfurt am Main 24. — 25. Oktober 2016

Anmeldung www.dagsa.eu/seminare/cism

COBIT® 5 Implementation26. — 28. Oktober 2016 Frankfurt am Main

Anmeldung

www.dagsa.eu/seminare/cobitr-5-implementation

Cyber Security PractitionerSeminar 1 Düsseldorf 24. Juni 2016

Seminar 2 Frankfurt am Main 30. September 2016

Seminar 3 München

2. Dezember 2016

Anmeldung www.dagsa.eu/seminare/csp

Information Security Practitioner Seminar 1 Frankfurt am Main 17. — 18. Juni 2016

Seminar 2 Düsseldorf 22. — 23. August 2016

Seminar 3 Berlin 1. — 2. Dezember 2016

Anmeldung www.dagsa.eu/seminare/itisp

IT INFORMATION SECURITY PRACTITIONER

I T I S P

IT-GRC 2016KONGRESS

Tagung

Artikel


COBIT- Anwenderkonferenz

— ein Bericht

Anfang März 2016 hat die „1. COBIT-Anwenderkonferenz“

stattgefunden. Wie war es und welche Themen wurden dort besprochen?


COBIT hat sich in den letzten Jahren zu Recht als das füh-rende Framework für IT-Ma-nagement und IT-Governance

positioniert. Nun liegt es in der Version COBIT 5 vor, mit dem eine Erweiterung über die Berufsgruppe der IT-Auditoren hinaus auf alle IT-Verantwortlichen vor-genommen wurde.

Am 4. März 2016 hat in Frankfurt am Main zum ersten Mal die „1. COBIT Anwenderkonferenz“ stattgefunden. „Der neue Perspektivwechsel ist natür-lich mit Fragen verbunden. Aber genau dafür ist so eine Anwenderkonferenz da, dass man unklare Aspekte klärt und diskutiert“, sagt Prof. Dr. Michael Klotz von der Fachhochschule Stralsund und Teilnehmer der COBIT-Anwenderkon-ferenz. „Gerade diese Neuorientierung des Frameworks hat wesentlich dazu beigetragen, die Denk- und Sprachwelt der IT-Verantwortlichen zu vereinheit-lichen.“

Auch das Programm der Anwen-derkonferenz hat diese Erweiterung wi-dergespiegelt: Die Themenbandbreite reichte von IT-Governance über das Ri-sikomanagement bis hin zu Cyber Secu-rity und IT-Audit. Dennoch: Der Fokus lag auf dem Risikomanagement. „Bei einer neuen Software ist es ja selbstver-ständlich, dass man Anwenderkonfe-renzen macht. Ähnlich ist es auch mit der COBIT-Anwenderkonferenz“, sagt Prof. Dr. Klotz.

So war zum Beispiel die Round Table Session I „COBIT 5-Governance im Zeitalter der Digitalisierung – Wie können IT-Organisationen COBIT 5 nutzen, um sich für die Zukunft aufzu-stellen?“, sehr interaktiv gestaltet. Frau Dr. Ute Streubel, Leiterin der Fachgrup-pe IT-Governance der ISACA Germany Chapter, hat gelungen demonstriert,

wie COBIT genutzt werden kann, um die eigene IT weiterzuentwickeln und innovativ einzusetzen.

Auch die zweite Round Table Session „IT Risiko-Analyse – es müss-te doch besser gehen!“, die von Alan Shepherd, Risk and Control Manager der Deutschen Bank, durchgeführt wur-de, war interessant. „Ich fand es span-nend, gerade dazu etwas von der Deut-schen Bank zu erfahren“, meint Prof. Dr. Klotz. „Die Diskussion hat gezeigt, dass die IT-Risikoanalyse leider immer noch in den Anfängen steckt, insbeson-dere, was fortgeschrittene Risikoanaly-se und Bewertungsverfahren anbelangt. Dennoch, die Teilnehmer konnten branchenübergreifend diskutieren und von den Best Practices der fortgeschrit-tenen Branchen, also der Finanzdienst-leistung, profitieren.“

Anderen hat sein Vortrag gerade deswegen gefallen, weil Shepherd die Dinge aus einer ungewohnten Blick-richtung betrachtet hat. „Ich fand, dass Alan Shepherd es gelungen ist, eine breitere Perspektive aufzuzeigen, als man sie normalerweise vorfindet. Er hat viele Aspekte des IT-Risikoma-nagements eingebracht, die sonst in der Fachliteratur nur selten angesprochen werden“, sagt Dr. Wolfgang Johannsen von der Frankfurt School of Finance & Management.

Das Information-Model von COBIT

Dr. Johannsen selbst hat ebenfalls einen Vortrag gehalten, jedoch mit ei-ner ganz anderen Stoßrichtung. Es ging um „Governance – eine noch junge und strategische Herausforderung“. „Ich fand es interessant, etwas über das In-formation-Model von COBIT zu hören,

>

Artikel


denn darüber hört man ja normalerwei-se nicht allzu viel. Mich hat sein Vortrag davon überzeugt, dass dieses Modell in Zukunft immer wichtiger werden wird. Insofern war es ein sehr guter Vortrag“, sagt Prof. Dr. Klotz.

In seinem Vortrag hat Dr. Johann-sen über den Zusammenhang zwischen Industrie 4.0 und COBIT gesprochen. Anhand des Beispiels der Unterneh-men, die einen Industrieroboter her-stellen, die dann einen Schaden verur-sachen, hat er verdeutlicht, dass neue Rechtsmittel notwendig sind.

Denn derzeit ist es unklar, wie man zum Beispiel in solchen Fällen mit der Haftungsfrage umgehen soll. „Da-bei spielt COBIT eine wichtige Rolle. Meine Hypothese ist hier, dass COBIT wunderbar dafür geeignet ist, diesen neuen Herausforderungen des Rechts eine praktische Unterstützung zu ge-ben. Denn COBIT wird herangezogen, um festzustellen, ob die internen Kon-trollsysteme die festgelegten Regeln

»Alan Shepherd hat viele Aspekte des IT-Risikomanagements eingebracht, die sonst in der Fachliteratur nur selten angesprochen werden.«

Dr.

Wol

fgan

g Jo

hann

sen,

Fra

nkfu

rt S

choo

l of

Fina

nce

& M

anag

emen

t

einhalten. Da man mit dem Framework bereits viel Erfahrung hat, kann man da-von ausgehen, dass diese Erfahrung auf ein neues Rechtsgebiet übertragbar ist. Insbesondere ist das neue Element von COBIT, Enabler Information, dafür sehr gut geeignet. Denn es rückt die IT-Go-vernance und die Qualität der Infor-mation viel mehr im Vordergrund. Zu-künftig wird genau das eine große Rolle spielen und weniger die Technik selbst“, sagt Dr. Johannsen.

Die Stimmung, die Themen

Insgesamt war die Stimmung auf der Anwenderkonferenz sehr interessiert und es gab, insbesondere in den Round-table Sessions, sehr gute und offene Diskussionen. „Nach vielen wirklich nützlichen Praxisberichten müssen die Teilnehmer nun überlegen, wie sie die neue Version auf das eigene Unterneh-men anpassen“, meint Prof. Dr. Klotz.

„Es war gut, dass die Anwenderkon-ferenz dieses Mal das Thema Risiko-management in den Fokus genommen hat, denn gerade hier gab es durch die jüngeren Entwicklungen beim COBIT viele Fragen bezüglich der Anwendung. Beim nächsten Mal könnte man ja zum Beispiel sich auf die IT Security fokus-sieren.“

Also, die Zielrichtung ist vorge-zeigt. Aber sollten Ihnen andere Frage-stellungen auf den Fingern brennen, die unbedingt auf der zweiten COBIT-An-wenderkonferenz als Schwerpunkt ge-wählt werden sollen, dann können Sie sehr gerne Ihre Vorschläge einbringen.

COBIT-Anwenderkonferenz — ein Bericht

>



Interview — Fachgruppe Informationssicherheit

„Effizient und ergebnisorientiert“

Die Fachgruppe Informationssicherheit kann einiges an interessanten Ergebnissen vorwei-sen. Im Interview spricht Boban Krsic, Leiter der Fachgruppe Informationssicherheit, über den aktuellen Stand der Arbeit und darüber, wie man die Fachgruppenarbeit effizient und ergebnisorientiert gestaltet.

I N T E R V I E W V O N I R I N A J Ä K E L


Interview — Fachgruppe Informationssicherheit

Herr Krsic, Sie leiten eine sehr aktive Fachgruppe. Was ist der aktuelle Stand Ihrer Arbeit?

Wir haben mehrere Themen in der Fachgruppe, an denen wir intensiv arbeiten. Zunächst sei der Leitfa-den zur praxisnahen Implementierung der interna-tionalen Norm ISO/IEC 27001:2013 zu nennen. Der Leitfaden gibt Hinweise für Organisationen, die sich entweder im Aufbau eines Managementsystems für Informationssicherheit befinden, oder ein solches schon betreiben und nach Verbesserungspotentialen Ausschau halten. Die Veröffentlichung des Leitfa-dens steht kurz bevor.

Des Weiteren beschäftigt sich die Fachgruppe mit der konkreten Umsetzung des im letzten Jahr verabschiedeten IT-Sicherheitsgesetzes. Hier haben wir den Fokus auf die Anforderungen des §8a und die Umsetzung eines branchenspezifischen Sicherheits-standards auf der Basis gängiger Normen der ISO 2700x-Reihe gelegt. Dazu planen wir einen kurzen Leitfaden herauszubringen, der aufzeigen soll, dass die ISO 2700x-Reihe eine sehr gute Grundlage für die Umsetzung der gesetzlichen Grundlage bildet.

Ferner arbeiten wir bei diesem Thema noch an einem Seminarkonzept, das die prototypische Imple-mentierung der Norm und eine mögliche Umsetzung eines branchenspezifischen Sicherheitsstandards umfassen soll. Nach der aktuellen Planung gehe ich davon aus, dass wir das erste Seminar Ende des Jahres 2016 anbieten können.

Als drittes Thema haben wir gemeinsam mit Quadriga ein Seminarkonzept zum Information Se-curity Practitioner erstellt. Der zweitätige Zertifi-katslehrgang soll erstmalig im Juni 2016 angeboten werden und zeigt wie unter Zuhilfenahme von COBIT 5 for Information Security ein ISMS aufgebaut und das Thema Informationssicherheit in der Organisa-tion integriert werden kann. Weitere Termine folgen im August und Dezember 2016.

Auch nach außen hin sind wir als Fachgruppe sehr aktiv. Wir kooperieren beispielsweise mit dem Bundesamt für Sicherheit in der Informationstech-nik (BSI) und haben so die Möglichkeit, auf die Ex-pertise der Kollegen aus der öffentlichen Verwaltung zurückzugreifen. Dies hatten wir bereits erfolgreich bei der intialen Erstellung des Zertifikatskurs „Cy-ber Security Practitioner“ im Rahmen der Allianz für Cyber-Sicherheit vom Bundesamt für Sicherheit in der Informationstechnik und dem ISACA Germa-ny Chapter e.V. in Kooperation angewandt. Auch bei dem Thema IT-Sicherheitsgesetz soll eine Unterstüt-zung der Kollegen aus dem BSI wieder stattfinden.

»Wir wollen uns viel stärker innerhalb des Verbandes mit anderen Fachgrup-pen interdisziplinär austauschen, weil wir ihre Expertise brauchen. Wir haben also ein klares Ziel, die interdisziplinäre Fachgruppenarbeit und die Kommuni-kation zwischen den Fachgruppen zu stärken.«

Ihre Fachgruppe hat ein Output, das sich sehen lassen kann. Wie schaffen Sie das?

Unsere Fachgruppe hat derzeit 18 aktive Mitglieder. Wir teilen uns je nach zu bearbeitenden Themen in kleinere Gruppen auf und erarbeiten eigenständig ihren jeweiligen Schwerpunkt. Die Koordination und Abstimmung liegt bei der Leitung der Fachgrup-pe. Die Themen werden fachlich von dem jeweiligen „Lead“ des Themas verantwortet.

Und wie oft treffen Sie sich, dass Sie so viel leisten können?Es gibt vier Regelmeetings, die wir pro Jahr vorgese-hen haben. Wir sind uns bewusst, dass die Regelmee-tings im Wesentlichen zum Strategischen, also zur Koordination und Abstimmung dienen. Die wirkliche Arbeit findet zwischen den Meetings statt. Die Teams organisieren sich in der Regel selbst und kommen nach Bedarf in kleinen Gruppen zusammen. Falls der Bedarf besteht, setzen wir eine Telefonkonferenz auf oder wir treffen uns persönlich, um gemeinsam an Themen zu arbeiten.

Wie lange haben Sie an Ihren drei Zielen gearbeitet?Der Implementierungsleitfaden ist schon seit gut zweieinhalb Jahren in Bearbeitung und es sind am Ende unter Beteiligung von etwa acht Mitgliedern meiner Fachgruppe fast 90 Seiten entstanden. Es ist also sehr umfangreich und sehr praxisnah. Und es ist von Experten für Experten – das ist uns sehr wichtig. Man muss schon einiges an Arbeit investieren, bis so ein Papier den hohen Ansprüchen genügt. Letztes Jahr waren wir mit der inhaltlichen Arbeit fertig. Und nach dem Abstimmungsprozess mit den Experten-gremien und dem Vorstand unseres Verbandes geht der Leitfaden in den nächsten Tagen in Druck.

Wie bekommen Sie es hin, die Mitglieder Ihrer Fachgruppe aktiv in die Fachgruppenarbeit einzubeziehen?

Die Mitglieder meiner Fachgruppe sind sehr enga-giert. Wir legen gemeinsam die Themen, die wir als „gefragt“ in unserer Fachgruppe ansehen, fest. Wel-che Themen wir aufnehmen, diskutieren wir und hinterfragen sie kritisch im Hinblick darauf, ob es wirklich die wichtigen Themen sind, die die Prakti-ker derzeit umtreiben. Wir machen auch regelmäßig Reviews, um festzustellen, ob bei einem bestimmten Thema aktuell der Bedarf noch da ist.

Was haben Sie sich für die Zukunft vorgenommen?Wir wollen versuchen, uns innerhalb unseres Verban-des mit anderen Fachgruppen interdisziplinär stär-ker auszutauschen. Wenn wir zum Beispiel gemein-same Themen identifizieren, dann wollen wir die Expertise aus den benachbarten Disziplinen heran-ziehen. Wir haben also ein klares Ziel, die interdiszi-plinäre Fachgruppenarbeit und die Kommunikation zwischen den Fachgruppen zu stärken.

Ziel der Fachgruppe Informationssicherheit ist es • Erarbeiten von ISACA-Vorschlägen bei der Ent-

wicklung von Normen durch die ISO/IEC JTC 1/SC 27

• Zusammenarbeit mit dem ISO Liaison Subcom-mittee der ISACA

• Teilnahme für das ISACA Germany Chapter an der Allianz für Cyber-Sicherheit von BSI und BITKOM

• Erstellen von Veröffentlichungen zur Informati-onssichherheit für die ISACA

• Zusammenarbeit mit weiteren Fachgruppen zu Themen der Informationssicherheit

• Kommentieren und vergleichen von relevanten Standards (z. B. ISO 27x, BSI GS, COBIT, IDW PS)

• Vertreten der Sichtweisen und aktuellen Ver-öffentlichungen der ISACA (z. B. COBIT 5 for Information Security)

• Erfahrungsaustausch der Mitglieder zu aktuellen sicherheitsrelevanten Themen

Artikel


Dr. Tim Sattler Andreas H. Schmidt

„Auf Grundlage der in der Rechtsverordnung genannten Schwellen-werte sollen vom IT-Sicherheitsgesetz zunächst nur Unternehmen betroffen sein, die kritische Infrastrukturen für mehr als 500.000 Menschen betreiben. Allerdings kann sich nach der geplanten Eva-luierung des Gesetzes nach vier Jahren der Kreis der betroffenen Unternehmen noch vergrößern.

Es gibt einen oft übersehenen Aspekt im IT-Sicherheitsgesetz, näm-lich eine Änderung des Telemediengesetzes, welche geschäftsmäßig betriebene Webseiten und damit so gut wie alle Unternehmen be-trifft. Webseiten müssen demnach nach Stand der Technik geschützt werden.

Abzuwarten bleibt, wieweit auch die Zulieferer von Betreibern kri-tischer Infrastrukturen zukünftig vom Gesetz berührt sein werden. Denn wenn die betroffenen KRITIS-Unternehmen beginnen, ihre Lie-fer- und Dienstleistungsketten zu überprüfen, ob dort ebenfalls spe-zifische Mindeststandards eingehalten werden, kann der Kreis sich deutlich erweitern.

Mit dem Gesetz ist eine Meldepflicht für Sicherheitsvorfälle verbun-den und diese Meldungen sollen primär dazu dienen, ein Sicherheits-lagebild zu erstellen. Es ist aber noch unklar, wieweit diese Informa-tionen, die das BSI erhält, in aufbereiteter Form wieder zurück an die Industrie gespielt werden. Ich würde mir insbesondere wünschen, dass diese Informationen nicht nur an die KRITIS-Betreiber kommu-niziert werden, sondern allen Unternehmen in Deutschland zugute-kommen.

Grundsätzlich sehe ich das Gesetz positiv, weil es bei den Unterneh-men ein Bewusstsein schafft, dass das Thema Informationssicher-heit einen gewissen Stellenwert besitzt und auch auf Regierungs-ebene wahrgenommen wird. Bei der praktischen Umsetzung gibt es aber noch viele Unbekannte.“

„Das IT-Sicherheitsgesetz (ITSiG) brauchen wir, aber als Prüfer hätte ich eine Gesetzeslage aus einem Guss erwartet.

Selbst nach der nunmehr veröffentlichten Rechtsverordnung (BSI-KritisV) ist in vielen Branchen noch nicht klar, welche Unterneh-men konkret betroffen sind. Benannt sind lediglich die Sektoren Ener-gie, Wasser und Ernährung. Der Umsetzungsplan KRITIS (UPKRITIS) weist allerdings insgesamt acht plus den Sektor Staat und Verwal-tung aus. Warum wieder ein unvollständiges Ergebnis?

Die in der o.a. Rechtsverordnung benannten Schwellenwerte stoßen auf erhebliche Kritik, beispielsweise bei den Verbänden BVLH und HDE für den Sektor Ernährung. Ich hätte hier einen gemeinsamen Beschluss erwartet.

Insbesondere fehlen momentan dezidierte Anforderungen, die an diesen Kreis gestellt werden. Lediglich die Bundesnetzagentur hat es geschafft, einen Katalog der Sicherheitsanforderungen zu formulie-ren. Warum konnte man die Kataloge nicht mit den Branchen ge-meinsam, vor dem Inkrafttreten des Gesetzes, erarbeiten?

Auf der anderen Seite werden wieder juristische Schlupflöcher ein-geführt, wie die Forderung nach „angemessenen organisatorischen und technischen Maßnahmen unter Einhaltung des Stands der Tech-nik“. Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) räumt ein, dass es nicht möglich ist, den Stand der Technik ab-schließend zu beschreiben. Den Bezug der Schwellenwerte auf die Betriebsgröße und Unternehmensgegenstand kann man lediglich erahnen.

Schlussendlich bin ich davon überzeugt, dass dies nicht die letzte Fassung des Gesetzes sein wird. Ich will nicht unken, aber in Brüssel liegen noch mind. zwei Verordnungen, die sich schon auf die natio-nale Umsetzung freuen, und damit ggf. auch auf Anpassungen des ITSiG.

Bei aller Euphorie des Bundesinnenministers, IT-Sicherheit bzw. de-ren Schwächen macht nicht an Staatsgrenzen halt. Wurde dieses Gesetz mit unseren europäischen Nachbarn abgestimmt?

Die Fachgruppen der jeweiligen IT-Verbände können jetzt ihre Leis-tungsfähigkeit beweisen und angemessene Leitlinien für die jeweili-gen Branchen erarbeiten. Die Bildung einer Art Task Force zwischen diesen Gruppen wäre sinnvoll. Ziel sollte es sein, die finalen Ergeb-nisse den Regierungsverantwortlichen zur Anerkennung vorzulegen. Meines Erachtens wäre dieses Vorgehen ein Gewinn für alle Beteilig-ten. Und das ist letztlich ja auch das Ziel des ITSiG.“

SteckbriefName: IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme)

In Kraft getreten: 25. Juli 2015

Worum es geht: Betreiber besonders gefährdeter Infrastrukturen (sog. „Kritischen Infrastrukturen“, KRITIS, wie Energie, Gesund-heit, Wasser, Telekommunikation), haben die Pflicht, ihre Netze vor Hacker-Angriffen zu schützen. Dazu gehört: — Meldung von IT-Sicherheitsvorfällen — Erarbeitung von branchenspezifischen Mindeststandards, die vom BSI genehmigt werden müssen — Die Unternehmen müssen alle 2 Jahre nachweisen, dass sie den Anforderungen der Standards entsprechen

Aktueller Stand: Der erste Entwurf der Rechtsverordnung, „Referentenentwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen“ (BSI-KritisV) wurde am 13. April 2016 vom Bundeskabinett beschlossen. Relevant ist dieser Entwurf für die Branchen Energie, Wasser, Ernähung, eingeschränkt auch für Informations- technik/Telekommunikation.


Artikel


www.it-grc-kongress.de

IT-GRC 2016KONGRESS

Cyber Security und Digitaler Wandel

15.und16. September 2016 Berlin

Jetzt anmelden zum Forum für IT Governance, Risk & Compliance und bis zum 5. August 2016 Frühbucherpreis sichern!

Unsere Keynotes: politisch, wissen-schaftlich & leidenschaftlich! Lassen Sie sich inspirieren und begeistern! Die verschie-

denen Perspektiven ermöglichen es Ihnen, den Blick über

den Tellerrand schweifen zu lassen und neue Ansätze

kennenzulernen.

Fokusthema: Status Quo und Zukunft der Unternehmens-IT

Highlights des Kongresses // Keynotes

PROF. DR. GUNTER DUECKMathematiker und Autor

PROF. DR. JENS WEIDNERProfessor für Kriminologie

6TRACKS

50BEST CASES

1 Security/Cybersecurity

2 Information Systems Audit and Assurance

3 Data Governance

4 COBIT: Governance, Risk Management &

Compliance

5 Career & Communications Management

6 Future IT & Business Innovation

Themenstränge

Sie möchten aktiv am IT-GRC-Kongress 2016 mitwirken und einen zum Fokusthema „Status Quo und Zukunft der Unter-

nehmens-IT - Cyber Security & Digitaler Wandel“ passenden Best Case oder

Workshop halten? Senden Sie uns Ihre Vorschläge bis zum 27.05.2016 an:

Programm ReferentenDeniz Üster [email protected]


Interview — Fachgruppe Cloud Computing

„Wir haben als Fachgruppe politische Sichtbarkeit“

Im Interview spricht Dr. Karl-Friedrich Thier, Leiter der Fachgruppe Cloud Computing, über das Erreichte und seine Ziele für 2016.

I N T E R V I E W V O N I R I N A J Ä K E L


Interview — Fachgruppe Cloud Computing

Herr Dr. Thier, wo stehen Sie heute mit der Arbeit Ihrer Fachgruppe Cloud-Computing und welche Ergebnisse können Sie vorweisen?

Wir waren letztes Jahr sehr aktiv. Worauf wir beson-ders stolz sind, ist die Umfrage „Cloud-Governance in den Unternehmen“, die wir letztes Jahr unter un-seren ISACA-Mitgliedern durchgeführt haben. Sie war für uns als Fachgruppe ein großer Erfolg. Zum einen, weil es sich gezeigt hat, dass unsere Mitglieder mit ISACA kooperieren, denn wir hatten eine sehr gute Rücklaufquote, trotz der Vielzahl an Fragen, die wir gestellt haben. Über 300 Mitglieder haben an der Umfrage teilgenommen und den Umfragebogen vollständig ausgefüllt. Und zum zweiten, weil wir sehr qualifizierte Aussagen bekommen haben. Un-sere Mitglieder sind eben Experten! Für uns als Fach-gruppe Cloud Computing hatte es noch eine positive Auswirkung gehabt: Durch die Umfrage hatten wir Aussagen bekommen, was unsere Mitglieder beim Thema Cloud interessiert und was als problematisch empfunden wird. Wir werden diese Anstöße in unse-rer Fachgruppenarbeit berücksichtigen.

Wie haben Sie mit den Ergebnissen gearbeitet?Wir haben eine umfangreiche Studie erstellt, die je-dem Teilnehmer noch vor der Veröffentlichung zu-geschickt wurde. Die Studie kann von unserer Fach-gruppenseite auf isaca.de heruntergeladen werden. Wir haben die Ergebnisse auch in unserer wissen-schaftlichen Vereinszeitschrift „IT-Governance“ und weiteren Online-Artikeln veröffentlicht sowie auf mehreren Konferenzen vorgestellt. Über die Stu-die haben wir auch zwei neue Mitglieder für unsere Fachgruppe dazugewonnen!

Gab es dabei Ergebnisse, die Sie interessant fanden oder die Sie sogar überrascht haben?

Auf die Frage, ob Unternehmen bereit sind, auch Pu-blic Cloud Computing zu nutzen, gab die Mehrheit an, dass sie dazu bereit wären, aber nur unter drei Bedingungen: Dass der Server in Deutschland oder in der EU steht, dass es eine Möglichkeit zur Verschlüs-selung gibt, aber der Cloud-Provider nicht an die Da-ten kommen kann; und dass die Cloud-Provider die Compliance-Anforderungen einhalten. Das zeigte, dass die Befragten mit den grundlegenden fachlichen Aspekten der Nutzung von Cloud Computing überra-schend gut vertraut waren

Wie stark ist Ihre Fachgruppe und wie oft treffen Sie sich?Wir sind am Ende des Jahres 2015 auf 10 Mitglieder angewachsen. Wir treffen uns einmal im Vierteljahr, dazwischen machen wir nach Bedarf kurze Telefon-konferenzen, zur Zeit alle zwei Wochen.

Welches Thema werden Sie nun bearbeiten?Dieses Jahr beschäftigen wir uns mit dem Thema Standardisierung, weil hier beim Thema Cloud Com-puting gerade sehr viel passiert. Vor kurzem wurde der neue internationale Standard ISO 27017 veröf-fentlicht. Alle Unternehmen, die nach ISO 27001 zer-tifiziert sind, müssen sich mit ihm auseinanderset-zen. Auf der Cebit hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eigene Mindestan-forderungen an Cloud-Provider herausgebracht. Und die Initiative Trusted Cloud des Bundeswirtschafts-ministerium (BMWi) hat ihr Gütesiegel gestartet. Daher wollen wir dieses Jahr sogar Fokus-Event zum Thema „Cloud Standardisierung“ durchführen. Dazu haben wir schon die Zusagen von BSI und der Initiative Trusted Cloud. Sie werden uns bei unserer Veranstaltung mit Vorträgen unterstützen.

Darüber hinaus arbeiten wir gerade an dem The-ma ISO 27017. Hierbei handelt es sich um eine Er-weiterung von ISO 27002 für Cloud Computing. Der Standard ist somit für alle Firmen relevant, die ihr Security Management nach der ISO27000-Reihe aus-richten. Über ISACA haben wir schon in frühen Pha-sen der Standardentwicklung die Möglichkeit gehabt, Entwürfe einzusehen und Kommentare abzugeben, die teilweise auch in den Standard eingearbeitet wurden. Und jetzt wollen wir eine Veröffentlichung schreiben, die diesen Standard vorstellt und analy-siert, was es bedeutet, wenn man Cloud nutzt oder als Service-Provider diesen anbietet. Diese wird vor-aussichtlich in der September-Ausgabe von „IT-Go-vernance“ erscheinen.

Ein weiteres Thema, das wir im zweiten Halbjahr 2016 angehen wollen, ist das Thema Cloud und „In-ternet of Things“ bzw. „Industrie 4.0“. Dazu planen wir ebenfalls eine Veranstaltung und eine Veröffent-lichung.

Sie werden also mittlerweile als Fachgruppe von der Politik eingebunden?Ja! Bei der Erstellung des 27017 haben wir uns noch selbst ins Spiel eingebracht und über unserer ISA-CA-Muttergesellschaft in den USA Kommentare abgegeben. Bei dem DIN-Standard 66286 zu Cloud Computing hat man uns schon aktiv um Mitarbeit angefragt. Auch die Mindeststandards des BSI haben wir vor Veröffentlichung einsehen und kommentie-ren dürfen. Und Beiträge der Fachgruppe sind auf Konferenzen gern gesehen. Unsere Fachgruppe hat also eine gewisse Sichtbarkeit auch außerhalb der ISACA erreicht.

»Wir wollen uns dieses Jahr mit den Themen Standardisierung, Cloud und „Inter-net of Things“ bzw. Industrie 4.0 be-schäftigen. Dazu wird unsere Fach-gruppe Veröffent-lichtungen vorbe-reiten.«

Ziele der Fachgruppe Cloud Computing sind • Begleitung bzw. Kommentierung von Standardi-

sierungsaktivitäten zu Cloud Computing, z.B. bei der Erstellung von ISO/IEC 27017

• Bereitstellung von Empfehlungen und Entschei-dungshilfen für Unternehmen und IT-Prüfer zur Nutzung von Cloud Computing, z.B. bei der Umsetzung von COBIT oder bei der vertraglichen Auftragsdatenverarbeitung nach §11 Abs. 1 BDSG im Cloud Computing Umfeld

• Durchführung von Analysen zum Einsatz und Akzeptanz von Governance-Modellen bei Cloud Computing

Artikel


Bereit zur Cyber-Schlacht?

Es liegt eine neue Studie vor, die den Fokus auf das IT-Sicherheitsgesetz richtet. Wie viele fühlen

sich zur KRITIS dazugehörig und wie vorbereitet sind sie auf die Erfüllung der Anforderungen, die das Gesetz

verlangt? Ein Bild zur Lage der Nation mit einem kleinen Makel — die IT-Sicherheitsleute wurden bei der

Studie gar nicht gefragt.


Seit vielen Jahren hört man zum Thema IT-Sicherheit immer dieselben pauschale Sätze, wie beispielsweise „Mit der wach-

senden digitalen Vernetzung wächst auch die Gefahr des Cybercrime“ oder „Unternehmen müssen ihr Bewusst-sein für erhöhtes Cybercrime-Risiko schärfen“ und dergleichen. Können Sie es auch schon nicht mehr hören? Das Thema ist nichts Neues. Jedem ist klar, dass Cyber-Kriminalität für alle eine Gefahr ist, die im Netz aktiv sind. Mit solchen seit Jahren gebetsmühlenartig kommunizierten Sätzen stumpft man eher gegenüber dem Risiko ab, als das man wachgerüttelt wird.

Viel interessanter ist es doch, da-rauf zu schauen, wie die Unternehmen mit der Weiterentwicklung der unbe-kannten Schattenwesen „Cyber-Kri-minellen“ Schritt halten. Doch so eine Studie ist verständlicherweise schwer zu finden. Immerhin liegt eine aktuel-le Studie „Wirtschaftskriminalität in der analogen und digitalen Wirtschaft 2016“ vor, die die Wirtschaftsprüfungs-gesellschaft PwC zusammen mit der Martin-Luther-Universität Halle-Wit-tenberg durchgeführt hat. Sie beschäf-tigt sich unter anderem damit, ob bei den befragten Unternehmen ein Be-wusstsein für das Risiko Cyber-Crime besteht und wie weit sie darauf vorbe-reitet sind. Deutschlandweit wurden

für die Studie 720 Unternehmen be-fragt. Was jedoch ein wenig enttäuscht, ist, dass zu einer Studie über ein solch IT-lastiges Thema hauptsächlich Leute aus der Rechts- und Compliance-Ab-teilung befragt wurden. In der Studie selbst heißt es dazu, man habe „… Ver-antwortliche aus 720 Unternehmen telefonisch interviewt, die sich in ih-rem Unternehmen für den Themen-bereich Kriminalitätsprävention und -aufklärung zuständig erklärt haben“. Unternehmensinterne IT-Sicherheits-spezialisten, die einzigen, die eine sach-verständige Meinung zum Thema E-Cri-me haben könnten, wurden gar nicht gefragt? Zumindest geht das nirgends aus der Auflistung derer hervor, die an der Studie teilgenommen haben. Dabei ist in der Studie zu lesen „34 Prozent oder jedes dritte Unternehmen wurde Opfer von E-Crime. Datendiebstahl be-kommt durch Hackerangriffe ein völ-lig neues Gesicht, die Taten sind viel schwerer zu entdecken.“

Der Stand der Dinge

Die Abbildung 5 „Von E-Crime be-troffenen Unternehmen“ zeigt, wo die Unternehmen am häufigsten getroffen wurden: auf den ersten drei Plätzen ran-gieren Computerbetrug, Manipulation von Konto- und Finanzdaten sowie Aus-

39 %

17 %

8 %

18 %

5 %

7 %

7 %

15 %

7 %

34 %

13 %

11 %

9 %

6 %

6 %

6 %

6 %

2 %

alle Deliktsarten

Computerbetrug

Manipulation von Konto- und Finanzdaten

Ausspähen und Abfangen von Daten (z.B. Passwörter)

Fälschung beweiserheblicher Daten

Computersabotage und Datenveränderung

Verstoß gegen Patent- und Markenrechte

Industrie- und Wirtschaftssabotage

Diebstahl vertraulicher Kunden- und Unternehmensdaten

Vo

n E-

Cri

me

bet

roff

ene

Unt

erne

hmen

Ab

b. 5

(Meh

rfa

chne

nnun

gen

wa

ren

mö

glic

h)

konkreter Verdacht einbeutige Fälle


Studienbesprechung

spähen und Abfangen von Daten. Insge-samt sind 70 Prozent der Befragten, die aus forschungsintensiven Unterneh-men kommen, der Meinung, dass das Risiko, durch E-Crime betroffen zu sein, im Zusammenhang mit der Industrie 4.0 steigt. Auf der anderen Seite gaben 60 Prozent der Befragten an, dass ihre Unternehmen sich nicht von E-Crime abschrecken lassen, in ihrer Strategie in Richtung Industrie 4.0 zu gehen.

Interessant ist die Aufstellung, an welcher Stelle im Unternehmen die Befragten die typischen Angriffsflä-chen und Risiken des Daten- und Wis-sensverlust vermuten. Dies präsentiert die Abbildung 16: Demnach waren die Befragten der Meinung, dass bei den forschungsintensiven Unternehmen die Schwachstellen am ehesten bei den mobilen IT-Systeme wie Mobiltelefone zu finden seien, gefolgt von der Abwer-bung von Mitarbeitern und dem Verlust von vertraulichen Informationen durch Mitarbeiterbeeinflussung auf Messen und ähnlichem. Bei Unternehmen mit geringer Forschung und Entwicklung rangieren auf den ersten beiden Plätzen Abwerbung von Mitarbeitern, Angriff auf mobile IT-Systeme wie Mobiltele-fone und Entwenden und Kopieren von Firmenunterlagen. Die Studienleiter haben diese vermuteten Risikobereiche gegen die tatsächlichen Vorfälle gespie-gelt. Dies zeigt die Abbildung 17. Im Großen und Ganzen war der „Bauchge-fühl“ der Befragten schon richtig.

Natürlich wollen wir die Statistik kennen, die angibt, wodurch die meis-ten Vorfälle in den Unternehmen auf-gedeckt werden. Schauen wir uns dazu die Abbildung 21 an. Wie wir feststellen können, werden die meisten Fälle von Daten- und Wissensverlusten sowie an-dere Wirtschaftsdelikte durch interne und externe Hinweise aufgedeckt. Weit abgeschlagen, aber immerhin auf Platz 3 rangiert die Aufdeckung durch die In-terne Revision. Die Unternehmenssi-cherheit auch für IT-Systeme befindet sich mit 3 bzw. 2 Prozent auf den hin-tersten Rängen.

Was die Studie für uns besonders interessant macht ist, dass der Fokus dieses Mal auf dem Vorhandensein der Sicherheitsstandards nach dem IT-Si-cherheitsgesetz lag. 21 Prozent der

Befragten sind der Meinung, dass ihr Unternehmen zur KRITIS gehört. Dazu heißt es in der Studie: „Inzwischen ver-fügen bereits drei Viertel der Unterneh-men, die nach eigener Einschätzung un-ter das IT-Sicherheitsgesetz fallen, über ein internes Sicherheitsmanagement. Ein Penetration-Testing ist mit 53 % weit verbreitet.“ Das veranschaulicht die Abbildung 26. Und wiederum 81 Prozent von den Befragten, deren Un-ternehmen zur KRITIS gehören, finden das IT-Sicherheitsgesetz sinnvoll. 18 Prozent war nicht klar, ob ihre Unter-nehmen nun darunter fallen oder nicht. Und für fast 60 Prozent der Befragten war es absolut klar, dass ihre Unterneh-men nicht zur KRITIS gehören.

Interessant ist in diesem Zusam-menhang, wie die betroffenen Unter-nehmen zur Meldepflicht von erhebli-chen Sicherheitsvorfällen stehen. Dies veranschaulicht die Abbildung 25. 63 Prozent begrüßen demnach diese Idee. 34 Prozent verstehen allerdings den Nutzen des Ganzen für ihre Unterneh-menspraxis nicht ganz. Und wiederum 62 Prozent sehen einen nicht unerheb-lichen bürokratischen Aufwand auf sich zukommen.

Zum Schluss wollen wir uns noch die Abbildung 27 anschauen, die zeigt, wie vorbereitet die Unternehmen auf das IT-Sicherheitsgesetz sind. Aufge-führt sind sowohl die Unternehmen, die zur KRITIS gehören, als auch solche, die nicht dazu gehören. Nur 53 Prozent der Kritis-Unternehmen haben eine perma-nente IT-Kontaktstelle, die für das BSI jederzeit erreichbar sein sollte. Aber genau das verlangt § 8b Abs. 3 BSIG. Jeweils 78 Prozent von ihnen verfügen ein internes Sicherheitsmanagement zur Identifikation von IT-Sicherheits-vorfällen und interne IT-Sicherheits-audits. Die Studienverfasser drücken daher ihre Hoffnungen aus, dass das IT-Sicherheitsgesetz den Unternehmen die nötigen Impulse zur Erhöhung der IT-Sicherheitsstandards geben möge.

Nun, das hoffen wir im Interesse dieser Unternehmen auch. Allerdings geben wir zu bedenken, dass diese Proz-entwerte eventuell anders ausgefallen wären, hätte man die IT-Sicherheitsleu-te selbst befragt. Was meinen Sie dazu?

30 %

49 %

25 %

36 %

21 %

33 %

47 %

8%

24 %

58 %

68 %

41 %

53%

40 %

42 %

71 %

16 %

44%

vertrauliche Informationen durch Mitarbeiter-beeinflussung auf Messen u.Ä.

Abwerbung von Mitarbeitern

Auswertung offener Quellen

Entwenden, Kopieren von Firmenunterlagen

Angriff auf Cloud

Angriff auf stationäre IT-Geräte/-Systeme

Angriff auf mobile IT-Systeme wie Mobiltelefone

Abhören von Telefonen, Abfangen von E-Mails und Faxen

Abhören von Besprechungen/Geschäftsräumen

74 %

67 %

6 %

7 %

11 %

11 %

39 %

53 %

11%

9 %

14 %

38 %

24 %

12 %

12 %

12 %

internes Sicherheitsmanagement zur Identifikation von IT-Sicherheitsvorfällen

interne IT-Sicherheitsaudits

Zertifizierung des IT-Sicherheitsmanagements

Penetration Testing des IT-Systems

Ver

bre

itun

g un

d S

tatu

s vo

n IT

-Sic

herh

eits

ma

ßna

hmen

Ab

b. 2

6 T

ypis

che

Ang

riff

svek

tore

n un

d R

isik

en d

es D

ate

n- u

nd W

is-

sens

verl

usts

Ab

b. 1

6 (M

ehrf

ach

nenn

ung

en w

are

n m

ög

lich)

9 %

10 %

4 %

2 %

2 %

0 %

42 %

20 %

10 %

58 %

68 %

41 %

53 %

40 %

42 %

71 %

44%

16 %

vertrauliche Informationen durch Mitarbeiter-beeinflussung auf Messen u.Ä.

Abwerbung von Mitarbeitern

Auswertung offener Quellen

Entwenden, Kopieren von Firmenunterlagen

Angriff auf Cloud

Angriff auf stationäre IT-Geräte/-Systeme

Angriff auf mobile IT-Systeme

Abhören von Telefonen, Abfangen von E-Mails und Faxen

Abhören von Besprechungen/Geschäftsräumen

V

erm

utet

e un

d ta

tsä

chlic

he R

isik

en d

es D

ate

n- u

nd W

isse

ns-

verl

usts

(alle

Unt

erne

hmen

) A

bb

. 17

Einschätzung der Risiken: mittel bis hochBasis: alle befragten Unternehmen

keine/geringe Forschung und Entwicklung forschungsintensive Unternehmen

Basis „vermutetes Risiko“: alle Unternehmen Basis „tatsächliches Risiko“: alle berichteten

Fälle von Daten- und Wissensverlust tatsächliches Risiko vermutetes Risiko

Basis: alle befragten Unternehmen (nahezu) abgeschlossen Im Aufbau In Planung nicht vorhanden

53 %

78 %

78 %

42 %

62 %

5%

35 %

25 %

3 %

3 %

3 %

6 %

9 %

5 %

30%

74%

65 %

40 %

51 %

8 %

39 %

18 %

7 %

9 %

5 %

permanente IT-Kontaktstelle für BSI jederzeit erreichbar

internes Sicherheitsmanagement zur Identifikation von IT-Sicherheitsvorfällen

interne Sicherheitsaudits

Zertifizierung des IT-Sicherheitsmanagements

Penetration Testing des IT-Systems

Hinweisgebersystem

interner Hinweis

externer Hinweis

Polizei/Staatsanwaltschaft oder Aufsichtsbehörde

investigative Medien

Personal/ oder Aufgabenwechsel

interne Revision

externe Revision

Unternehmenssicherheit auch für IT-Systeme

Risikomanagement

Datenanalyse durch E-Berichtssysteme zu verdächtigen Transaktionen

Compliance Officer

durch Zufall

andere

Grü

nde

für

die

Ers

tent

dec

kung

vo

n D

elik

ten

im V

erg

leic

h A

bb

. 21

63%

34 %

62 %

53 %

33 %

55 %

Kooperationsidee der Meldepflicht ist zu begrüßen

in der Praxis von unsicherem Nutzen für die Unternehmen

Meldepflicht führt zu erheblichen bürokratischem Aufwand

B

eurt

eilu

ng d

er g

eset

zlic

hen

Mel

dep

flic

ht v

on

erhe

blic

hen

IT-S

iche

rhei

tsvo

rfä

llen

Ab

b. 2

5 (M

ehrf

ach

nenn

ung

en w

are

n m

ög

lich)

Ver

ber

eitu

ng v

on

IT-S

iche

rhei

tsm

aß

nahm

en n

ach

KR

ITIS

-Zug

ehö

rig

keit

Ab

b. 2

7

Maßnahme (nahezu) abgeschlossenBasis: alle befragten Unternehmen

Unternehmen der KRITIS kein Unternehmen der KRITIS oer unklar

Basis: Anteil an den berichteten Fällen Fälle von Daten- und Wissensverlust andere Wirtschaftsdelikte

0 %

0 %

0 %

2 %

1 %

1 %

2 %

3 %

3 %

3 %

2 %

2 %

1 %

„trifft zu“ Unternehmen der KRITIS kein Unternehmen der KRITIS oer unklar


Impressum

ISACA — die Mitgliederzeitschrift

Herausgeber Prof. Dr. Matthias GoekenAndreas H. SchmidtTorben Werner

RedaktionIrina Jäkel Editor in ChiefTelefon: 030 / 84 85 93 20 [email protected]

GestaltungAnsgar KlemmJeferson Brito Andrade

AnzeigenNorman [email protected]

DruckDruckcenter Berlin GmbHBenzstraße 12 | 12277 Berlin (Marienfelde) Telefon +49 (0)30 31 98 00-10 | Telefax +49 (0)30 31 98 00-22

AbonnementkonditionenMitglieder des ISACA Germany Chapter e.V. erhalten dieses Magazin kostenfrei im Rahmen ihrer Mitgliedschaft. Eine Mitgliedschaft kann abgeschlossen werden über www.isaca.org.

Im Internet: www.isaca.de

Verlags- / RedaktionsanschriftQuadriga Media BerlinWerderscher Markt 1310117 BerlinTelefon: 030 / 84 85 90 Fax: 030 / 84 85 92 [email protected]

BildnachweiseCover Alexanderschlacht (Albrecht Altdorfer); S.3 Matthias Ketz; Privat (2); S.5 Privat; S.7 Ansgar Klemm; Laurin Schmid; www.thinkstock.com (2); Alexanderschlacht (Albrecht Altdorfer);

S.8 www.thinkstock.com; S.12 ISACA; S.16 www.thinkstock.com; S.22-25 Laurin Schmid (3); S.27 Privat; S.30 www.thinkstock.com; S.31 Privat (2); S.35 Privat; S.38 Alexanderschlacht (Albrecht Altdorfer)

w w w . q u a d r i g a - f o r u m . d e

Die stilvolle Location für Ihre Business- veranstaltungen in Berlin

Das Quadriga Forum ist das moderne Businesszentrum zwischen Gendarmenmarkt, Unter den Linden und dem Roten Rathaus

in Berlin Mitte. Alle Räume im Ober- und Erdgeschoss sind modular kombinierbar und können den Bedürfnissen der Veranstaltung

entsprechend individuell bestuhlt werden. Alle Räume sind klimatisiert und bieten großzügiges Tageslicht. Moderne Tagungstechnik

zählt im Quadriga Forum zum Ausstattungsstandard. W-Lan ist selbstverständlich ebenfalls im gesamten Tagungsbereich verfügbar.

Entscheiden Sie sich für den Unterschied.


DAGSADeutsche Akademie für IT-Governance, IT-Security und IT-AuditDeutsche Akademie für IT-Governance, IT-Security und IT-Audit

IN KOOPERATION MIT

www.dagsa.eu

Beratungund Anmeldung

zu den Seminaren unter

www.dagsa.eu

UN IVERS I T Y UN IVERS I T Y

SEMINARPROGRAMM 2016Werden Sie zum IT-Experten mit unserem Seminarprogramm – ISACA zertifiziert!

ISACA Germany Chapter e.V. | ISACA Germany …...zum Beispiel seit kurzem gemeinsam mit der...

Documents

Transcript of ISACA Germany Chapter e.V. | ISACA Germany …...zum Beispiel seit kurzem gemeinsam mit der...