Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Energieversorgung: Windparks sind…

Gesetzlich einen CSO verpflichtend machen

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Gesetzlich einen CSO verpflichtend machen

    Autor: Trockenobst 11.09.17 - 12:25

    CSO = Chief Security Officer

    Und dem dann diverse harte Security Business Zertifikate in die Jobbeschreibung reinhängen.

    Die FIrma kriegt keine Entlastung für ihren Jahresabschluss ohne den Bericht des CSOs, der CSO wird diese wegen Verletzungs seiner Dienstpflicht nicht erteilen, wenn die möglichste Security nicht umgesetzt wird.

    Ohne Entlastung für den Jahresabschluss kriegen die Investoren keine juristisch stabile Aussage mit der sie Geld einsammeln können, weil es das Risiko gibt dass man vielleicht für Millionen noch die Security hochziehen muss.

    Die Regierungen weigern sich jedoch dies zu tun, weil das die Firmen immer Millionen wenn nicht sogar Milliarden kosten würde. Und so viele fähige CSOs gibt es aktuell nicht.

  2. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: emuuu 11.09.17 - 13:04

    Im Grund stimme ich dir zu, dass gewisse gesetzliche Regelungen hermüssen was die IT-Sicherheit angeht.

    Allerdings ist da die Schwierigkeit wo du die grenze ziehen willst. Einem relativ kleinen Unternehmen würdest du damit die Luft abdrehen. IT in dem einem oder anderen Sinne benutzt mittlerweile fast jeder und gerade wenn du die (nötigen) "harten" Zertifikate in die Jobbeschreibung schreibst, werden die entsprechenden Personen für das Unternehmen ziemlich teuer. Und eine nicht-wertschöpfende Kraft für sagen wir mal 40 - 50k im Jahr können sich viele Unternehmen nicht leisten.

    Ich würde da eher den Weg über die Gefährdungsanalyse gehen. Jede Firma muss ohnehin für Ihre Arbeitsstätten Gefährdungsanalysen durchführen. Sowas könnte man auch für die IT-Infrastruktur verpflichtend machen. Gerade für die Firmen die sich kein eigenes Personal dafür leisten können, kann man dies an Drittanbieter abgeben.

  3. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Tylon 11.09.17 - 13:06

    Na auf gehts. Wenn der Mensch nen Zettel hat, muss er das ja alles können. Spitzenklasse Vorschlag.
    -> sorry aber ein Iso-Aufkleber sagt gar nichts.

  4. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: emuuu 11.09.17 - 13:33

    Tylon schrieb:
    --------------------------------------------------------------------------------
    > Na auf gehts. Wenn der Mensch nen Zettel hat, muss er das ja alles können.
    > Spitzenklasse Vorschlag.
    > -> sorry aber ein Iso-Aufkleber sagt gar nichts.

    Denke das meinte er mit "harten" Zertifikaten. Also solchen die du nur nach bestandenen Schulungen und Prüfungen erhälst.

  5. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Blackhazard 11.09.17 - 13:44

    Zitate aus meinem Leben als IT-Admin:

    "IT ist sinnlos und bringt kein Geld."
    "Der Rechner funktioniert doch, ist halt etwas lahm aber funktioniert"
    "IT-Sicherheit? Ich hab doch mein Passwort nicht aufgeschrieben"
    "Wozu muss ich mich ständig an "meinem" anmelden? Das nervt und kostet massig Zeit"
    "Wozu brauch ich denn eine Firewall?"
    ....
    ...

    da fallen mir noch viele viele Beispiele ein. Solche Sätze bekommt man als Admin vom Mitarbeiter oder sogar dem Chef in einem Krankenhaus zu hören oder in einer kleinen bis großen IT-Programmierschmiede.
    Was ich als Admin dann mache? Tja sofern jeder Versuch und jede Erklärung scheitert, die Firma verlassen und sich die bald auftretenden Probleme erst gar nicht antun.

  6. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Tylon 11.09.17 - 14:03

    emuuu schrieb:
    --------------------------------------------------------------------------------
    > Tylon schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Na auf gehts. Wenn der Mensch nen Zettel hat, muss er das ja alles
    > können.
    > > Spitzenklasse Vorschlag.
    > > -> sorry aber ein Iso-Aufkleber sagt gar nichts.
    >
    > Denke das meinte er mit "harten" Zertifikaten. Also solchen die du nur nach
    > bestandenen Schulungen und Prüfungen erhälst.

    Na die Prüfung muss aber erst noch gebacken werden. Ne Iso z.B. beschäftigt sich hauptsächlich damit, dass man aufschreibt, was man tut und hat paar good practices dabei (benutz ne Firewall - hey klasse!).
    Nen SSL-Zertifikatsfehler durch veraltete Verschlüsselung entdeckt man damit nicht. Auch nach der Prüfung nicht. Das fällt inzwischen Gott sei dank durch die Browser auf. Aber in der Regel steht da drin "geeignete Maßnahmen auf dem Stand der Technik".
    Und wenn es schon eher ins eingemachte geht, dass jemand nen CCNP o.ä. hat, ist er in der Regel zu fachbezogen um sich in anderen Bereichen ähnlich tief auszukennen.

    Einer, der IT-Sicherheit macht, reicht für das beschriebene selten aus, um es ordentlich zu realisieren. Da ein CSO aber meist gar nichts realisiert und solche Sachen selten tief im Detail anschaut, reden wir über einen Papiertiger.
    Was hier im Artikel geschrieben ist, hätte in den 90ern oder für zuhause auch alles ausgereicht "halt das es geht". Wie man aber sieht, ist das nicht ausreichend. Es braucht sicherheitsaffine Techniker, die sich die Fragen beim realisieren selbst stellen und nicht nur vom Whitepaper "abmalen".

  7. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: chefin 11.09.17 - 14:22

    emuuu schrieb:
    --------------------------------------------------------------------------------
    > Tylon schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Na auf gehts. Wenn der Mensch nen Zettel hat, muss er das ja alles
    > können.
    > > Spitzenklasse Vorschlag.
    > > -> sorry aber ein Iso-Aufkleber sagt gar nichts.
    >
    > Denke das meinte er mit "harten" Zertifikaten. Also solchen die du nur nach
    > bestandenen Schulungen und Prüfungen erhälst.

    Keine Prüfung und Schulung kann dir helfen IT Sicherheit zu verstehen

    Du weist lediglich, das es sowas gibt nach der Schulung. IT-Sicherheit ist wie CS spielen. Man verliert am anfang gegen die erfahrenen Gegner. Aber je mehr man spielt desdo besser wird man und irgendwann kann man sie auch besiegen. So ähnlich ist der Kampf gegen Hacker die destruktives im Sinn haben. Die lassen ihre Phantasie spielen und kommen auf Dinge, die dir nie einfallen würden. jemand der tausend Schulungen gemacht hat und alles bestanden, zeigt das er gut auswendig lernen kann. Aber er muss nicht auswendig lernen sondern creativ sein. Und das kann man nicht lernen. Das hat man oder man hat es nicht.

  8. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: dEEkAy 11.09.17 - 15:14

    chefin schrieb:
    --------------------------------------------------------------------------------
    > emuuu schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Tylon schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Na auf gehts. Wenn der Mensch nen Zettel hat, muss er das ja alles
    > > können.
    > > > Spitzenklasse Vorschlag.
    > > > -> sorry aber ein Iso-Aufkleber sagt gar nichts.
    > >
    > > Denke das meinte er mit "harten" Zertifikaten. Also solchen die du nur
    > nach
    > > bestandenen Schulungen und Prüfungen erhälst.
    >
    > Keine Prüfung und Schulung kann dir helfen IT Sicherheit zu verstehen
    >
    > Du weist lediglich, das es sowas gibt nach der Schulung. IT-Sicherheit ist
    > wie CS spielen. Man verliert am anfang gegen die erfahrenen Gegner. Aber je
    > mehr man spielt desdo besser wird man und irgendwann kann man sie auch
    > besiegen. So ähnlich ist der Kampf gegen Hacker die destruktives im Sinn
    > haben. Die lassen ihre Phantasie spielen und kommen auf Dinge, die dir nie
    > einfallen würden. jemand der tausend Schulungen gemacht hat und alles
    > bestanden, zeigt das er gut auswendig lernen kann. Aber er muss nicht
    > auswendig lernen sondern creativ sein. Und das kann man nicht lernen. Das
    > hat man oder man hat es nicht.


    Mag sein, dass man auf die ganzen fancy Sachen gar nicht kommt auf die ein Spitzenhacker kommt, allerdings sollten doch so grundlegende Sachen machbar sein.

    Warum müssen diese Portale eigentlich im öffentlichen Internet erreichbar sein? Warum ohne Verschlüsselung? Wieso wird so viel bereits ohne Login preisgegeben? Wieso müssen interne Config-Dateien über die Webseite lesbar sein?

    Wenn man sich mal 5 Minuten hinsetzt und eine kleine Skizze zeichnet von dem was für die Öffentlichkeit bestimmt ist und was nicht, kommt man bereits auf viele der oben genannten Sachen.

    Ob "harte Zertifikate" hier der richtige Weg sind sei mal dahingestellt, allerdings so ganz ohne irgend welche Vorgaben funktioniert auch nicht so recht.

  9. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Trockenobst 11.09.17 - 16:17

    emuuu schrieb:
    --------------------------------------------------------------------------------
    > einem oder anderen Sinne benutzt mittlerweile fast jeder und gerade wenn du
    > die (nötigen) "harten" Zertifikate in die Jobbeschreibung schreibst, werden
    > die entsprechenden Personen für das Unternehmen ziemlich teuer. Und eine
    > nicht-wertschöpfende Kraft für sagen wir mal 40 - 50k im Jahr können sich
    > viele Unternehmen nicht leisten.

    Millionen Strafe zahlen sollte <<<< kleiner sein als 100T. Eine defekte Turbine ist sicherlich günstiger als das.

    Momentan müssen einige Versicherungen und Sparkassen einen CSO einstellen. Weil es ohne den nicht mehr geht. Da geistern akut Jahresgehälter von >120T herum.

    Es gibt harte Security Tests. Nicht so highlevel "Das muss HTTPS" sein Zeug, sondern wirklich schwierige Teile,
    https://www.cbtnuggets.com/blog/2017/03/8-most-difficult-it-security-certifications/

    Ich weiß das weil ein Kumpel von mir Admin ist und bei einem schon zweimal durchgefallen ist. ;) Die Leute verwechseln DOING mit verstehen wie das DOING anzuordnen sind.

    Man kann verstehen dass z.B. die Anbindung State of the Art nur über entsprechende VPNs stattfinden sollte und für diesen Zweck kann man dann Top Leute beschaffen. Dazu muss man aber wissen was in die Ausschreibung gehört.

  10. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Trockenobst 11.09.17 - 16:20

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Keine Prüfung und Schulung kann dir helfen IT Sicherheit zu verstehen

    Ich habe keine Ahnung wie ein Auto funktioniert. Ich weiß aber dass der Scheibenwischer beim Pumpen nicht mehr funktioniert und das der Motor beim Anfahren stottert. Ein erfahrener Werkstattmeister wird für beides Leute finden, die diese Probleme lösen.

    Der Werkstattmeister muss nicht die neuerste Technik und Motorensteuerungsupdates kennen. Er muss nur wissen das es das Problem gibt und sucht sich dann die passenden Leute. Das geht nur, wenn du umfassend einen Blick auf Security hast, der nicht "Nunja, da haben wir ja ein Passwort und die Zeile oben beginnt mit HTTPS" endet.

    Der typische CIO/IT-Verantwortliche hat das nicht auf dem Schirm.

  11. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Trockenobst 11.09.17 - 16:25

    Tylon schrieb:
    --------------------------------------------------------------------------------
    > Na die Prüfung muss aber erst noch gebacken werden.
    https://www.cbtnuggets.com/blog/2017/03/8-most-difficult-it-security-certifications/

    > Da ein CSO aber meist gar nichts realisiert und solche Sachen selten tief im Detail
    > anschaut, reden wir über einen Papiertiger.

    In der Regel hat man schon einen CSO, der ist für die Onsite Security Verantwortlich.
    Genauer wäre gewesen CSIO > chief-information-security-officer

    Und das sind seine Jobs. Trivial ist nichts davon
    https://advisera.com/27001academy/knowledgebase/what-is-the-job-of-chief-information-security-officer-ciso-in-iso-27001/

  12. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Tylon 11.09.17 - 16:46

    Trockenobst schrieb:
    --------------------------------------------------------------------------------
    > chefin schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Keine Prüfung und Schulung kann dir helfen IT Sicherheit zu verstehen
    >
    > Ich habe keine Ahnung wie ein Auto funktioniert. Ich weiß aber dass der
    > Scheibenwischer beim Pumpen nicht mehr funktioniert und das der Motor beim
    > Anfahren stottert. Ein erfahrener Werkstattmeister wird für beides Leute
    > finden, die diese Probleme lösen.
    >
    > Der Werkstattmeister muss nicht die neuerste Technik und
    > Motorensteuerungsupdates kennen. Er muss nur wissen das es das Problem gibt
    > und sucht sich dann die passenden Leute. Das geht nur, wenn du umfassend
    > einen Blick auf Security hast, der nicht "Nunja, da haben wir ja ein
    > Passwort und die Zeile oben beginnt mit HTTPS" endet.
    >
    > Der typische CIO/IT-Verantwortliche hat das nicht auf dem Schirm.

    Stell Dir vor, Du weißt gar nicht, was ein Scheibenwischer ist, weil es noch nie geregnet hat und daher noch nie Bedarf hattest. Dann weißt Du außerdem nicht, dass da was kaputt ist, weil Du ihn ja nie betätigt hast. Dann weißt Du auch nicht, dass Du ihn dringend brauchst.

    Und das Ende vom Lied ist dann ne Windkraftanlage ohne VPN im Internet. Oder ne Industriesteuerung oder ne Spritzenpumpe oder ein Auto oder oder oder. Warum wird das so gemacht? Weil die Branchen alle nix mit IT am Hut haben (Neuland aber nicht nur hier) aber gehört haben, dass man sowas über das Netz wohl alles steuern kann und dann nicht hin muss. Wie praktisch.
    Ich will gar nicht sagen, dass ein Sicherheitsbeauftragter gar nichts bringt. Aber die Realität ist, dass solche Anlagen halt vom Windkraftradtechniker/SPS-Techniker/x/y/z mit aufgebaut und konfiguriert wird. Ein IT-Fachunternehmen dazu zu holen ist halt oft zu teuer. Und der Sicherheitsmensch ist genausowenig umsonst und kommt daher häufig aus dem "eh da".

  13. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: matzems 11.09.17 - 19:53

    Es gibt so viele Firmen für schlecht administriert werden. Es wird einfach nach wie vor lieber ein Porsche zum 18.Geburtstag von Sohn des Chefs gekauft, als mal ein bisle Kohle in gescheite IT investiert.
    Viele Chefs habe null Ahnung und was noch viel schlimmer ist null Interesse für IT, da die "kein Geld verdient,nur Geld kostet". Das wird sich auch so schnell nicht ändern und Windows XP wird so schnell nicht aussterben.

  14. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Trockenobst 12.09.17 - 14:31

    Tylon schrieb:
    --------------------------------------------------------------------------------
    > Ein IT-Fachunternehmen dazu zu holen ist halt oft zu teuer. Und der
    > Sicherheitsmensch ist genausowenig umsonst und kommt daher häufig aus dem
    > "eh da".

    Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs, zertifikatsgesteuerte Zugriffe etc. heben die Schwierigkeit eines Hacks um mehrere Potenzen. Dann muss sich der Angreifer auch Fragen ob sich der Angriff lohnt, wenn er nicht durch ein paar Webfrontends das Ding kaputt machen kann. Wenn das Backendsystem (also der Propeller) nicht jede Eingabe akzeptiert ist so ein System schon mal um Welten besser als "Logins bei Google finden"-Nicht-Security.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Landeshauptstadt München, München
  2. Daimler AG, Berlin
  3. Rational AG, Landsberg am Lech
  4. GK Software AG, Schöneck/Vogtland

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


E-Golf auf Tour: Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
E-Golf auf Tour
Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
  1. Fuso eCanter Daimler liefert erste Elektro-Lkw aus
  2. Sattelschlepper Thor ET-One soll Teslas Elektro-Lkw Konkurrenz machen
  3. Einkaufen und Laden Kostenlose Elektroauto-Ladesäulen mit 50 kW bei Kaufland

Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

  1. Augmented Reality: Google stellt Project Tango ein
    Augmented Reality
    Google stellt Project Tango ein

    Veraltet und zu unflexibel: Google unterstützt das Augmented-Reality-System Project Tango nicht mehr. Der Nachfolger ARCore soll in Kürze verfügbar sein.

  2. Uber vs. Waymo: Uber spionierte Konkurrenten aus
    Uber vs. Waymo
    Uber spionierte Konkurrenten aus

    Harte Bandagen: Ein ehemaliger Mitarbeiter von Uber hat im Prozess von Waymo gegen den Fahrdienst von fragwürdigen Geschäftspraktiken berichtet. Danach sammelte Uber unter anderem mit illegalen Mitteln wie Abhören oder Spionage Informationen über Konkurrenten.

  3. Die Woche im Video: Amerika, Amerika, BVG, Amerika, Security
    Die Woche im Video
    Amerika, Amerika, BVG, Amerika, Security

    Golem.de-Wochenrückblick Die USA wollen mal wieder zum Mond, die BVG speichert mal wieder Bewegungsdaten und ein 19 Jahre alter Angriff funktioniert immer wieder. Sieben Tage und viele Meldungen im Überblick.


  1. 12:47

  2. 11:39

  3. 09:03

  4. 17:47

  5. 17:38

  6. 16:17

  7. 15:50

  8. 15:25