Dipl. Inform. (FH) Alexander Löw Data-Warehouse GmbH Beitrag der Forschung bei der Umsetzung von ganzheitlichen multistrategischen Sicherheitskonzepten Dipl. Inform. (FH) Alexander Löw Data-Warehouse GmbH ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse

ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse CV Alexander Löw Geb. 1966 Dipl. Inform (FH) 1993 in München EDV seit 1979 Sicherheitsrelevante Projekte seit 1984 Gesamtheitliche Lösungen seit 1987 Datenschutzbeauftragter für verschiedene Organisationen Senior - Mitglied bei der International Association of Software Architects Konzernberatung seit 1995 mit Gründung Data-Warehouse GmbH Data-Warehouse GmbH Systemhaus für zentrales Informationsmanagement Eigene Produktschiene für evolutionäres Prototyping auf Basis von branchenführenden Systemen (z.B. Oracle) Gesamtheitliches Informationsmanagement als zentrale Unternehmensphilosophie „use your information“ mit Betonung auf der aktiven Nutzung Kunden : Deutsche Post, EADS, Eurofighter, Dt. Luftwaffe, ÖBH, …….. ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse

ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse Ausgangssituation Was ist Sicherheit? Individuelle Einschätzung der momentanen Situation, beeinflusst durch Begrenzte Aufnahmefähigkeit des einzelnen Zu viele Angriffsszenarien Rahmenbedingungen können beschränken Begrenzte finanzielle Möglichkeiten Schulung / Ausbildung / Kenntnisse des einzelnen Existierende und gelebte Prozesse Individuelle Komponenten (Lebensstil, Lebensphilosophie, Vorlieben, Abneigungen….) ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse

ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse Ausgangsituation Entwicklung von Konzepten zur Erreichung des individuellen Sicherheitsanspruchs! Zieldefinition Harmonisierung der Ziele? Erreichung aller Ziele (Multistrategie)? Priorisierung der Ziele Risikoanalysen Internes, externes Assessment Standard- / individualisierter Analysekatalog Bewertung Interne, externe Bewertung Bewertungskriterien Einführung Umsetzungskonzepte, Schulungskonzepte Überprüfung auf Vollständigkeit / Lücken Automatisierte, manuelle Überprüfung, … ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse

ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse Ausgangssituation Wie kann Sicherheit „faktisch“ werden ? Assessments? Protection? Detection? … Parametrisierung der einzelnen Strategien ? Einsatz von Technologien? Definition von Standards? Einsatz von Standards? Definition der Strategien? Definition von Prozessen und Abläufen? Ausbildung der Mitarbeiter? Katalogisierung der Punkte? … ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse

ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse Ziele Gewährung von Sicherheit Staat Angreifer erkennen, identifizieren, unschädlich machen Präventiv handeln Gesetze erlassen Sanktionen entwickeln Bürger schadlos halten Unternehmen Angreifer erkennen, evtl. identifizieren, der Exekutive übergeben Unternehmensschutz (Informationen und Geheimnisse wahren) Einhaltung gesetzlicher Vorschriften Mitarbeiterschutz Gebäudeschutz (Investitionsschutz) Mitarbeiter Die Sicherheitsbelange der Arbeitgeber unterstützen und verbessern Kunden Verlässliche Partner (geschäftlich, staatlich) des Individuums möglichst unbehelligte individuelle Lebensführung Wahrung des Persönlichkeitsrechts und sonstiger demokratischer Prinzipien .......... ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse

Ziele Alle Bereiche sind betroffen und sollen geschützt werden Informationstechnologie Infrastruktur Versorgung Innere Sicherheit Äußere Sicherheit Finanzen Produktion Verwaltung Mitarbeiter / Bürger Durch die Komplexität ergeben sich für jeden Bereich eigene Strategien. ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse

ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse Ziele Harmonisierung des multistrategischen Umfelds N-Dimensionaler Raum der Ziele + Strategien Ideallösung wäre ein Punkt in diesem Raum (nicht realisierbar) Daher muss der Ergebnisraum minimiert werden, um einem Punkt möglichst nahe zu kommen IT-Unterstützung zur Visualisierung / Optimierung Erkennen und eliminieren von Lücken ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse

ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse Lösungsansätze Reduktion der Komplexität ! Jede Komplexität schafft Lücken (und damit Aufwände/Kosten zur Beseitigung oder Handhabung) Siehe Steuerrecht Siehe Software (z.B. komplexe betriebswirtschaftliche Anwendungen) Einbindung in bestehende Standardprozesse ! z.B. als Bestandteil ISO 9xxx, TQM …. Ständige Überprüfung und Verbesserung Ausbildung und Kommunikation der Strategien ! Aus- und Weiterbildung des Managements Einbindung, Motivation und Überzeugung der Mitarbeiter ! Weiterbildung und Schulungen Aktive Unterstützung und Mitarbeit der Führungsebenen Einführung von qualitätsorientierten Informationsmanagement ! Nächster Schritt vom Datenspeichern und Verwalten in Richtung aktiver Informationsnutzung ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse

ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse Lösungsansätze Unterschiedliche Auswirkungen von eingesetzten Philosophien Zentrale Organisation (ein Angriffspunkt, gesamtes Risiko zentralisiert, hohe Komplexität je Knoten) Z.B. Organisation WTC 11.9.2001, Cantor Fitzgerald, 80 % der Mitarbeiter Z.B. IT-Systeme und Architekturen Z.B: SAP, Microsoft Große Schadenswirkung bei erfolgreichem Angriff, kritische Wirkung bei erfolgreichem, zerstörerischem Angriff Prinzip: „Einmal eine Lücke finden und vielfach ausnutzen“ Versus Dezentrale Organisation (mehrere Angriffspunkte, verteiltes Risiko, geringe Komplexität je Knoten) Z. B. Organisation Agencies, Profit Center, vernetzte Strukturen Z.B. Internet, Plattform-Systeme „Geringe“ Schadenswirkung, da Ausweichpfade vorhanden Jeder einzelne Knoten muss analysiert und angegriffen werden ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse

ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse Fazit Nur gesamtheitliche aber auf die individuelle Anforderungen zugeschnittene Konzepte können sich effizient anpassen (Harmonisierung der Strategien). Individuelle und verteilte Lösungen auf Basis von Industriestandards sind schwerer angreifbar als zentrale und können schneller reagieren. Zentrale Lösungen sind mit geringerem Personalaufwand verbunden und können einheitlich geschult werden. Die Qualität des Informationsmanagements und die Unterstützung der Führungsebene beeinflussen neben den „klassischen“ Rahmenbedingungen die erzielbare Qualität in der Sicherheit. Die Nutzung von Standardverfahren und -anwendungen löst die Aufgaben nicht. ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse

ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse Beitrag der Forschung Die Forschung und Ausbildung muss zusätzlich zum Spezialwissen, übergreifende Themen angehen, um den zukünftigen Führungskräften Methoden zur Bewältigung der Aufgaben zur Hand zu geben. Sicherheitskonzepte müssen aufgrund der neuen Technologien ständig weiterentwickelt werden und benötigt daher Ideen/Konzepte/Methoden zur „Standardisierten Individualisierung“. Die Zusammenarbeit der Industrie/Behörden mit den Hochschulen kann hier durch die Erfahrungswerte der Industrie/Behörden mit den Innovationen der Hochschulen zu neuen Ansätzen der Sicherheitskonzeption führen. Für einen effizienten Informationsaustausch bei verteilten Systemen/Konzepten müssen (internationale) Standards geschaffen, genutzt werden. ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse

ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse Vielen Dank für Ihre Aufmerksamkeit! ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse

ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse Disclaimer Alle Namen und Produkte sind durch die jeweiligen Rechte der Inhaber geschützt. ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse