35c3 Chaos West

Informationssicherheit & IT-Risikomanagement am Beispiel der Bank B
2018-12-30, 12:00–12:50, Chaos West Stage

Gerade im Bereich der IT halten externe Berater (und auch Mitarbeiter) sich oft mehr oder weniger an den Vorgaben der Aufsicht fest. So manch einer hat keine Ahnung, ob das eigentlich zielführend ist - und von was redet der Techniker am anderen Ende des Tisches da eigentlich?!?!!!??? Garniert mit eigenen Anekdoten, kleinen fiktiven Beispielen und absolut tauglich für Anfänger: Informationssicherheit & IT-Risikomanagement am Beispiel der Bank B!


Zum Aufwärmen: Datenschutz und Informationssicherheit. Wo ist der Unterschied? Dann die drei Schutzziele Vertrautlichkeit / Integrität / Verfügbarkeit am Anfang des Regelkreises zur Informationssicherheit: welchen Schutzbedarf haben meine Informationen? Welche Prozesse wirken darauf ein? Auf welchem Server liegen die Informationen eigentlich? Hat meine Anwendung eine Schnittstelle? Warum stellen diese Leute immer so viele Fragen? Bisher ist doch auch nichts passiert? Dann mach ich halt mal was.... spätestens an dieser Stelle atme ich normalerweise tief durch. Dann kommt nämlich der Part, an dem erklärt wird: nö, ist nicht.

Wenn dann weißer Rauch aufsteigt, und alle irgendwie zufrieden sind, kommt das Restrisiko. Wie, noch mehr zu tun?! Ja! Dann werden Risiken eingestellt, bewertet, und "gemanaged", berichtet, abgelehnt, verloren, wiedergefunden, mitigiert und irgendwie zu einem eigenen Süppchen gekocht. Dabei könnte es so schön sein (vollständiges, adressatengerechtes Reporting hüstel). Der zweite Teil beinhaltet dann also die Risikoanalyse. Über die Klärung, was eigentlich ein Risiko und eine Bedrohung ist, quantifizierter vs. qualifiziertes Ansatz, Risikobehandlung, Eintrittswahrscheinlichkeit & Schadenshöhe.