Beiträge

BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ – 19. September 2019

In Koope­ration mit der SRC Security Research & Consulting GmbH richtet die Bank-Verlag GmbH ein BarCamp zum Thema „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ aus. Die Veran­staltung findet am 19. September 2019 in den Räumen des Bank-Verlags in Köln statt.

Mit den „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (kurz BAIT) hat die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht (BaFin) auch die neue Funktion des Infor­ma­ti­ons­si­cher­heits­be­auf­tragten definiert. Dieser steuert den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäfts­leitung. Wie diese Theorie in der Praxis aussieht, wird am 19. September im BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ näher beleuchtet.

Das BarCamp-Prinzip

Ein BarCamp ist eine offene Tagung mit praxis­nahen Workshops. Die Workshops dienen dem inhal­tichen Austausch und der Diskussion unter den Teilneh­menden. Dabei werden die Inhalte und der Ablauf von den Teilneh­menden zu Beginn selbst entwi­ckelt und im weiteren Verlauf gestaltet. Feste Redner oder vorde­fi­nierte Abläufe sind in einem BarCamp nicht zu finden. Statt­dessen setzt dieses Prinzip auf den (moderierten) Erfah­rungs­aus­tausch.

BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“

Das BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kreditinstituten“gibt Infor­ma­ti­ons­si­cher­heits­be­auf­tragten sowie allen Verant­wort­lichen im Infor­ma­tions- und IT-Sicher­heits­ma­nagement von Kredit­in­sti­tuten die Gelegenheit, sich zu Themen wie z.B. BAIT-Prüfungen, Dienst­leis­ter­steuerung oder Risiko­ma­nagement auszu­tau­schen. Darüber hinaus können Kontakte geknüpft und Fachkunde ausgebaut werden. Die Pausen können für indivi­duelle Gespräche genutzt werden. Am Ende der Veran­staltung sorgt ein  „Get-together“ für einen vertie­fenden Austausch unter den Teilneh­menden.

Referenten der SRC

Gleich vier Experten aus verschie­denen Bereichen der SRC werden ihr Wissen und ihre Expertise im Rahmen des Barcamps mit den Teilneh­menden teilen.

Sandro Amendola, stell­ver­tre­tender Prüfstel­len­leiter bei der SRC, verant­wortet das Thema „IT-Compliance in der Kredit­wirt­schaft“. Darüber hinaus entwi­ckelt er, unter anderem im Auftrag der Deutschen Kredit­wirt­schaft, Sicher­heits­kon­zepte und Sicher­heits­an­for­de­rungen für Zahlungs­ver­kehrs­ver­fahren.

Jochen Schumacher ist bei SRC für den Bereich Kommu­ni­kation verant­wortlich. Er konzen­triert sich auf das Produkt­ma­nagement, die technische und redak­tio­nelle Betreuung des Webauf­tritts sowie die Planung, Durch­führung und Moderation von Veran­stal­tungen.

Florian Schumann ist Leiter der IT bei SRC. Darüber hinaus ist er Berater für Infor­ma­ti­ons­si­cherheit und quali­fi­zierter Prüfer gem. § 8 (a) BSIG für kritische Infra­struk­turen.

Dr. Deniz Ulucay ist bei SRC als Berater für Infor­ma­ti­ons­si­cherheit tätig. Seine Schwer­punkte liegen im Aufbau von ISMSen, insbe­sondere bei Betreibern von kriti­schen Infra­struk­turen. Außerdem ist er für die Erstellung sowie Umsetzung von Sicher­heits­kon­zepten verant­wortlich.

Anmeldung & Ablauf

Weitere Infor­ma­tionen zur Anmeldung und zum Ablauf des BarCamps zum Thema „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ können diesem Flyer entnommen werden und auf der Webseite des Bank-Verlags gefunden werden. Hier können Sie sich für die Veran­staltung direkt online anmelden und die für Sie wichtigen und inter­es­santen Themen einbringen und so Ablauf und Ergebnis des BarCamps „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ mitbe­stimmen.

Für weitere Fragen steht Ihnen Frau van Kessel gerne zur Verfügung (Tel. 0221/5490–161, andrea.vankessel(at)bank-verlag.de).

KRITIS 2018

Kriti­scher Tag 2018 | Wissen und Erfah­rungen im angeregten Austausch

Der Kritische Tag

Am 25. April 2018 fand der erste Kritische Tag im Konfe­renz­zentrum von SRC statt. Damit feierte eine Veran­stal­tungs­reihe ihre Premiere, die eine hochka­rätige Plattform für den Austausch bietet. Diese richtet sich in erster Linie an Vertreter von Unter­nehmen, die eine kritische Infra­struktur (KRITIS) betreiben. Der Kritische Tag dient vor allem dem Aufbau persön­licher Kontakte, sowie dem Austausch von Erfah­rungen und Best-Practices zur IT- und physi­schen Sicherheit kriti­scher Infra­struk­turen.

Der Tages­ablauf

Schon nach Ankunft der ersten Teilnehmer begann ein reger Austausch zu den Themen. Zum Start des Kriti­schen Tages dokumen­tierte der ausge­buchte Saal den Infor­ma­ti­ons­bedarf der Teilnehmer.

Hochka­rätige Sprecher gaben einen Überblick über das Thema KRITIS. Isabel Münch, Fachbe­reichs­lei­terin CK3 und Vertre­terin des Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI), erläu­terte Vorgehen und Abläufe in der Aufsichts­be­hörde. Randolf Skerka, Bereichs­leiter bei SRC und Verant­wort­licher für das Thema Prüfung nach §8a (3) BSIG, schil­derte die ersten Erfah­rungen aus Perspektive der prüfenden Stelle. Das Klinikum Lünen hat den Nachweis der Prüfung nach §8a (3) BSIG als Erstes erbracht. Ralf Plomann, IT-Leiter des Klinikums Lünen, gab eindrucks­volle Einblicke über die Entwicklung der Kranken­haus­or­ga­ni­sation zur Vorbe­reitung auf die Prüfung. Für die fachliche Abrundung des Vormittags sorgte Prof. Dr. med. Andreas Becker, der verdeut­lichte, dass fundierte Branchen­kom­petenz ein wesent­licher und unver­zicht­barer Grund­stein einer sinnvolle Prüfung ist.

Die Exper­ten­vor­träge vermit­telten den Teilnehmern eine 360°-Sicht auf die weitest­gehend und aus gutem Grund unscharf formu­lierten Anfor­de­rungen der BSI-Prüfungen.

Zum Abschluss des Vormittags schil­derte der bildende Künstler Frank Rogge seine Sicht auf die Fragen der Kriti­ka­lität im Bereich künst­le­ri­schen Schaffens.

Der Nachmittag wurde vollum­fänglich den Inter­es­sens­schwer­punkten der Teilnehmer gewidmet. Unter der Moderation von Jochen Schumacher, Mitor­ga­ni­sator bei SRC, wurde der Ablauf des Nachmit­tages gestaltet.

Die Teilnehmer organi­sierten eigen­ständig die vielfäl­tigen Inhalte für neun Sessions.

Die wichtigsten Ergeb­nisse des Nachmittags

Aus der Session „Zerti­fi­zie­rungs­fin­dings an das BSI übersenden“ wurde deutlich, dass das BSI zum Beispiel keine „klassi­schen“ und bis ins letzte technische Detail ausfor­mu­lierten Findings bzw. Abwei­chungen erwartet. Sinnvoll ist ein grob beschrie­bener Rahmen der Abwei­chungen und die Beschreibung eines Handlungs­weges im Prüfbe­richt. Dennoch muss für jedes Risiko innerhalb einer kriti­schen Infra­struktur eine entspre­chende Maßnahme vorhanden sein. Das hat für das BSI enorme Bedeutung.

Das BSI wünscht sich die enge Koope­ration mit den verschie­denen Kritis-Unter­nehmen. Das Ziel ist, die Sicherheit der IT in Deutschland zu stärken.

In der Session „Awareness für IT-Sicherheit im Unter­nehmen“ stellte Ralf Plomann die Methode und Maßnah­men­um­setzung im Klinikum Lünen vor. Wichtig sei hier der indivi­duelle Ansatz. Jeder Einzelne im Unter­nehmen sei für die IT-Sicherheit verant­wortlich. In der persön­lichen Ansprache müsse jeder Mitar­beiter dort abgeholt werden, wo er gerade stehe. Das gilt nach Plomann besonders, weil fast niemand mehr Richt­linien lesen würde. Deshalb seien kreativere Ansätze zu wählen. Ralf Plomanns Wunsch für die Zukunft: „Awareness für IT-Sicherheit sollte bereits in der Schule ab Sekun­dar­stufe II beginnen.“ Im Verlauf der weiteren Session kristal­li­sierte sich ein klarer Trend zu eLearning-Platt­formen für die Verbes­serung der Awareness heraus.

In einer weiteren Session widmeten sich die Teilnehmer der sicheren und einfachen Eingrenzung des Scopes. In der Diskussion wurde vor allem das Pyramiden-Modell favori­siert. Die als kritisch einge­stufte Dienst­leistung ist der beste Start­punkt zur Definition des Scope. Geht es beispiels­weise um die kritische Infra­struktur Klärwerk, muss zur Definition des Scope heraus­ge­funden und festge­halten werden, welche Systeme das Wasser klären, welche Auswir­kungen ein Ausfall hätte und wie dieser Ausfall durch andere Methoden kompen­siert und somit die kritische Dienst­leistung aufrecht erhalten werden kann.

Mit dieser Methode bewegt man sich syste­ma­tisch zum äußeren Perimeter. Gelangt man zu nicht mehr kriti­schen Systemen, ist die Grenze des Scopes erreicht.

Fazit des ersten „Kriti­schen Tag“ aus Sicht von SRC

Ausdruck der faszi­nie­renden Atmosphäre war die Weiter­führung der bilate­ralen Kommu­ni­kation der Teilnehmer zwischen den einzelnen Sessions. Die Rückmel­dungen belegten, dass die Teilnehmer viele neue Kontakte knüpfen und Erkennt­nisse aus anderen KRITIS-Projekten gewinnen konnten.

Die insgesamt positive Resonanz der Teilnehmer zeigt uns als SRC, dass der Kritische Tag ein sinnvoller Hub für den Austausch von Infor­ma­tionen zu KRITIS-Projekten zwischen den beteilgten Akteuren ist. Unser Dank gilt allen Teilnehmern, die mit Ihrer Offenheit und ihrem Engagement funda­mental zum Gelingen des kriti­schen Tages beitrugen.

Den Kriti­schen Tag betrachten wir als gelun­genes Experiment. Das motiviert uns, in die Vorbe­rei­tungen für eine Neuauflage einzu­steigen.