Beitrag der Forschung bei der Umsetzung von
ganzheitlichen multistrategischen
Sicherheitskonzepten
Dipl. Inform. (FH)
Alexander Löw
Data-Warehouse GmbH
ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse
CV
• Alexander Löw
–
–
–
–
–
–
–
–
Geb. 1966
Dipl. Inform (FH) 1993 in München
EDV seit 1979
Sicherheitsrelevante Projekte seit 1984
Gesamtheitliche Lösungen seit 1987
Datenschutzbeauftragter für verschiedene Organisationen
Senior - Mitglied bei der International Association of Software Architects
Konzernberatung seit 1995 mit Gründung Data-Warehouse GmbH
• Data-Warehouse GmbH
– Systemhaus für zentrales Informationsmanagement
– Eigene Produktschiene für evolutionäres Prototyping auf Basis von
branchenführenden Systemen (z.B. Oracle)
– Gesamtheitliches Informationsmanagement als zentrale
Unternehmensphilosophie „use your information“ mit Betonung auf der
aktiven Nutzung
– Kunden : Deutsche Post, EADS, Eurofighter, Dt. Luftwaffe, ÖBH, ……..
ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse
Ausgangssituation
• Was ist Sicherheit?
– Individuelle Einschätzung der momentanen Situation, beeinflusst durch
• Begrenzte Aufnahmefähigkeit des einzelnen
• Zu viele Angriffsszenarien
• Rahmenbedingungen können beschränken
• Begrenzte finanzielle Möglichkeiten
• Schulung / Ausbildung / Kenntnisse des einzelnen
• Existierende und gelebte Prozesse
• Individuelle Komponenten (Lebensstil, Lebensphilosophie,
Vorlieben, Abneigungen….)
ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse
Ausgangsituation
• Entwicklung von Konzepten zur Erreichung des individuellen
Sicherheitsanspruchs!
– Zieldefinition
• Harmonisierung der Ziele?
• Erreichung aller Ziele (Multistrategie)?
• Priorisierung der Ziele
– Risikoanalysen
• Internes, externes Assessment
• Standard- / individualisierter Analysekatalog
– Bewertung
• Interne, externe Bewertung
• Bewertungskriterien
– Einführung
• Umsetzungskonzepte, Schulungskonzepte
– Überprüfung auf Vollständigkeit / Lücken
• Automatisierte, manuelle Überprüfung, …
ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse
Ausgangssituation
• Wie kann Sicherheit „faktisch“ werden ?
–
–
–
–
–
–
–
–
–
–
Assessments? Protection? Detection? …
Parametrisierung der einzelnen Strategien ?
Einsatz von Technologien?
Definition von Standards?
Einsatz von Standards?
Definition der Strategien?
Definition von Prozessen und Abläufen?
Ausbildung der Mitarbeiter?
Katalogisierung der Punkte?
…
ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse
Ziele
• Gewährung von Sicherheit
– Staat
•
•
•
•
•
Angreifer erkennen, identifizieren, unschädlich machen
Präventiv handeln
Gesetze erlassen
Sanktionen entwickeln
Bürger schadlos halten
– Unternehmen
•
•
•
•
•
Angreifer erkennen, evtl. identifizieren, der Exekutive übergeben
Unternehmensschutz (Informationen und Geheimnisse wahren)
Einhaltung gesetzlicher Vorschriften
Mitarbeiterschutz
Gebäudeschutz (Investitionsschutz)
– Mitarbeiter
•
Die Sicherheitsbelange der Arbeitgeber unterstützen und verbessern
– Kunden
•
Verlässliche Partner (geschäftlich, staatlich)
– des Individuums
•
•
–
möglichst unbehelligte individuelle Lebensführung
Wahrung des Persönlichkeitsrechts und sonstiger demokratischer Prinzipien
..........
ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse
Ziele
• Alle Bereiche sind betroffen und sollen geschützt werden
–
–
–
–
–
–
–
–
–
Informationstechnologie
Infrastruktur
Versorgung
Innere Sicherheit
Äußere Sicherheit
Finanzen
Produktion
Verwaltung
Mitarbeiter / Bürger
Durch die Komplexität ergeben sich für jeden Bereich
eigene Strategien.
ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse
Ziele
• Harmonisierung des multistrategischen Umfelds
– N-Dimensionaler Raum der Ziele + Strategien
– Ideallösung wäre ein Punkt in diesem Raum (nicht realisierbar)
– Daher muss der Ergebnisraum minimiert werden, um einem Punkt
möglichst nahe zu kommen
– IT-Unterstützung zur Visualisierung / Optimierung
– Erkennen und eliminieren von Lücken
ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse
Lösungsansätze
– Reduktion der Komplexität !
• Jede Komplexität schafft Lücken (und damit Aufwände/Kosten zur
Beseitigung oder Handhabung)
– Siehe Steuerrecht
– Siehe Software (z.B. komplexe betriebswirtschaftliche Anwendungen)
– Einbindung in bestehende Standardprozesse !
• z.B. als Bestandteil ISO 9xxx, TQM ….
• Ständige Überprüfung und Verbesserung
– Ausbildung und Kommunikation der Strategien !
• Aus- und Weiterbildung des Managements
– Einbindung, Motivation und Überzeugung der Mitarbeiter !
• Weiterbildung und Schulungen
• Aktive Unterstützung und Mitarbeit der Führungsebenen
– Einführung von qualitätsorientierten Informationsmanagement !
• Nächster Schritt vom Datenspeichern und Verwalten in Richtung aktiver
Informationsnutzung
ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse
Lösungsansätze
• Unterschiedliche Auswirkungen von eingesetzten Philosophien
– Zentrale Organisation (ein Angriffspunkt, gesamtes Risiko zentralisiert,
hohe Komplexität je Knoten)
• Z.B. Organisation
– WTC 11.9.2001, Cantor Fitzgerald, 80 % der Mitarbeiter
• Z.B. IT-Systeme und Architekturen
– Z.B: SAP, Microsoft
– Große Schadenswirkung bei erfolgreichem Angriff, kritische Wirkung bei
erfolgreichem, zerstörerischem Angriff
– Prinzip: „Einmal eine Lücke finden und vielfach ausnutzen“
• Versus
– Dezentrale Organisation (mehrere Angriffspunkte, verteiltes Risiko,
geringe Komplexität je Knoten)
• Z. B. Organisation
– Agencies, Profit Center, vernetzte Strukturen
• Z.B. IT-Systeme und Architekturen
– Z.B. Internet, Plattform-Systeme
– „Geringe“ Schadenswirkung, da Ausweichpfade vorhanden
– Jeder einzelne Knoten muss analysiert und angegriffen werden
ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse
Fazit
•
Nur gesamtheitliche aber auf die individuelle Anforderungen zugeschnittene
Konzepte können sich effizient anpassen (Harmonisierung der Strategien).
•
Individuelle und verteilte Lösungen auf Basis von Industriestandards sind
schwerer angreifbar als zentrale und können schneller reagieren.
•
Zentrale Lösungen sind mit geringerem Personalaufwand verbunden und
können einheitlich geschult werden.
•
Die Qualität des Informationsmanagements und die Unterstützung der
Führungsebene beeinflussen neben den „klassischen“ Rahmenbedingungen
die erzielbare Qualität in der Sicherheit.
•
Die Nutzung von Standardverfahren und -anwendungen löst die Aufgaben
nicht.
ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse
Beitrag der Forschung
•
Die Forschung und Ausbildung muss zusätzlich zum Spezialwissen,
übergreifende Themen angehen, um den zukünftigen Führungskräften
Methoden zur Bewältigung der Aufgaben zur Hand zu geben.
•
Sicherheitskonzepte müssen aufgrund der neuen Technologien ständig
weiterentwickelt werden und benötigt daher Ideen/Konzepte/Methoden zur
„Standardisierten Individualisierung“.
•
Die Zusammenarbeit der Industrie/Behörden mit den Hochschulen kann
hier durch die Erfahrungswerte der Industrie/Behörden mit den Innovationen
der Hochschulen zu neuen Ansätzen der Sicherheitskonzeption führen.
•
Für einen effizienten Informationsaustausch bei verteilten
Systemen/Konzepten müssen (internationale) Standards geschaffen,
genutzt werden.
ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse
Vielen Dank für Ihre Aufmerksamkeit!
ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse
Disclaimer
•
Alle Namen und Produkte sind durch die jeweiligen Rechte der Inhaber geschützt.
ESCI – Keynote,29.09.2006, Alexander Löw, Data-Warehouse

Beitrag der Forschung bei der Umsetzung von ganzheitlichen