Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Energieversorgung: Windparks sind…

Gesetzlich einen CSO verpflichtend machen

  1. Thema

Neues Thema Ansicht wechseln


  1. Gesetzlich einen CSO verpflichtend machen

    Autor: Trockenobst 11.09.17 - 12:25

    CSO = Chief Security Officer

    Und dem dann diverse harte Security Business Zertifikate in die Jobbeschreibung reinhängen.

    Die FIrma kriegt keine Entlastung für ihren Jahresabschluss ohne den Bericht des CSOs, der CSO wird diese wegen Verletzungs seiner Dienstpflicht nicht erteilen, wenn die möglichste Security nicht umgesetzt wird.

    Ohne Entlastung für den Jahresabschluss kriegen die Investoren keine juristisch stabile Aussage mit der sie Geld einsammeln können, weil es das Risiko gibt dass man vielleicht für Millionen noch die Security hochziehen muss.

    Die Regierungen weigern sich jedoch dies zu tun, weil das die Firmen immer Millionen wenn nicht sogar Milliarden kosten würde. Und so viele fähige CSOs gibt es aktuell nicht.

  2. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: emuuu 11.09.17 - 13:04

    Im Grund stimme ich dir zu, dass gewisse gesetzliche Regelungen hermüssen was die IT-Sicherheit angeht.

    Allerdings ist da die Schwierigkeit wo du die grenze ziehen willst. Einem relativ kleinen Unternehmen würdest du damit die Luft abdrehen. IT in dem einem oder anderen Sinne benutzt mittlerweile fast jeder und gerade wenn du die (nötigen) "harten" Zertifikate in die Jobbeschreibung schreibst, werden die entsprechenden Personen für das Unternehmen ziemlich teuer. Und eine nicht-wertschöpfende Kraft für sagen wir mal 40 - 50k im Jahr können sich viele Unternehmen nicht leisten.

    Ich würde da eher den Weg über die Gefährdungsanalyse gehen. Jede Firma muss ohnehin für Ihre Arbeitsstätten Gefährdungsanalysen durchführen. Sowas könnte man auch für die IT-Infrastruktur verpflichtend machen. Gerade für die Firmen die sich kein eigenes Personal dafür leisten können, kann man dies an Drittanbieter abgeben.

  3. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Tylon 11.09.17 - 13:06

    Na auf gehts. Wenn der Mensch nen Zettel hat, muss er das ja alles können. Spitzenklasse Vorschlag.
    -> sorry aber ein Iso-Aufkleber sagt gar nichts.

  4. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: emuuu 11.09.17 - 13:33

    Tylon schrieb:
    --------------------------------------------------------------------------------
    > Na auf gehts. Wenn der Mensch nen Zettel hat, muss er das ja alles können.
    > Spitzenklasse Vorschlag.
    > -> sorry aber ein Iso-Aufkleber sagt gar nichts.

    Denke das meinte er mit "harten" Zertifikaten. Also solchen die du nur nach bestandenen Schulungen und Prüfungen erhälst.

  5. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Blackhazard 11.09.17 - 13:44

    Zitate aus meinem Leben als IT-Admin:

    "IT ist sinnlos und bringt kein Geld."
    "Der Rechner funktioniert doch, ist halt etwas lahm aber funktioniert"
    "IT-Sicherheit? Ich hab doch mein Passwort nicht aufgeschrieben"
    "Wozu muss ich mich ständig an "meinem" anmelden? Das nervt und kostet massig Zeit"
    "Wozu brauch ich denn eine Firewall?"
    ....
    ...

    da fallen mir noch viele viele Beispiele ein. Solche Sätze bekommt man als Admin vom Mitarbeiter oder sogar dem Chef in einem Krankenhaus zu hören oder in einer kleinen bis großen IT-Programmierschmiede.
    Was ich als Admin dann mache? Tja sofern jeder Versuch und jede Erklärung scheitert, die Firma verlassen und sich die bald auftretenden Probleme erst gar nicht antun.

  6. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Tylon 11.09.17 - 14:03

    emuuu schrieb:
    --------------------------------------------------------------------------------
    > Tylon schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Na auf gehts. Wenn der Mensch nen Zettel hat, muss er das ja alles
    > können.
    > > Spitzenklasse Vorschlag.
    > > -> sorry aber ein Iso-Aufkleber sagt gar nichts.
    >
    > Denke das meinte er mit "harten" Zertifikaten. Also solchen die du nur nach
    > bestandenen Schulungen und Prüfungen erhälst.

    Na die Prüfung muss aber erst noch gebacken werden. Ne Iso z.B. beschäftigt sich hauptsächlich damit, dass man aufschreibt, was man tut und hat paar good practices dabei (benutz ne Firewall - hey klasse!).
    Nen SSL-Zertifikatsfehler durch veraltete Verschlüsselung entdeckt man damit nicht. Auch nach der Prüfung nicht. Das fällt inzwischen Gott sei dank durch die Browser auf. Aber in der Regel steht da drin "geeignete Maßnahmen auf dem Stand der Technik".
    Und wenn es schon eher ins eingemachte geht, dass jemand nen CCNP o.ä. hat, ist er in der Regel zu fachbezogen um sich in anderen Bereichen ähnlich tief auszukennen.

    Einer, der IT-Sicherheit macht, reicht für das beschriebene selten aus, um es ordentlich zu realisieren. Da ein CSO aber meist gar nichts realisiert und solche Sachen selten tief im Detail anschaut, reden wir über einen Papiertiger.
    Was hier im Artikel geschrieben ist, hätte in den 90ern oder für zuhause auch alles ausgereicht "halt das es geht". Wie man aber sieht, ist das nicht ausreichend. Es braucht sicherheitsaffine Techniker, die sich die Fragen beim realisieren selbst stellen und nicht nur vom Whitepaper "abmalen".

  7. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: chefin 11.09.17 - 14:22

    emuuu schrieb:
    --------------------------------------------------------------------------------
    > Tylon schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Na auf gehts. Wenn der Mensch nen Zettel hat, muss er das ja alles
    > können.
    > > Spitzenklasse Vorschlag.
    > > -> sorry aber ein Iso-Aufkleber sagt gar nichts.
    >
    > Denke das meinte er mit "harten" Zertifikaten. Also solchen die du nur nach
    > bestandenen Schulungen und Prüfungen erhälst.

    Keine Prüfung und Schulung kann dir helfen IT Sicherheit zu verstehen

    Du weist lediglich, das es sowas gibt nach der Schulung. IT-Sicherheit ist wie CS spielen. Man verliert am anfang gegen die erfahrenen Gegner. Aber je mehr man spielt desdo besser wird man und irgendwann kann man sie auch besiegen. So ähnlich ist der Kampf gegen Hacker die destruktives im Sinn haben. Die lassen ihre Phantasie spielen und kommen auf Dinge, die dir nie einfallen würden. jemand der tausend Schulungen gemacht hat und alles bestanden, zeigt das er gut auswendig lernen kann. Aber er muss nicht auswendig lernen sondern creativ sein. Und das kann man nicht lernen. Das hat man oder man hat es nicht.

  8. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: dEEkAy 11.09.17 - 15:14

    chefin schrieb:
    --------------------------------------------------------------------------------
    > emuuu schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Tylon schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Na auf gehts. Wenn der Mensch nen Zettel hat, muss er das ja alles
    > > können.
    > > > Spitzenklasse Vorschlag.
    > > > -> sorry aber ein Iso-Aufkleber sagt gar nichts.
    > >
    > > Denke das meinte er mit "harten" Zertifikaten. Also solchen die du nur
    > nach
    > > bestandenen Schulungen und Prüfungen erhälst.
    >
    > Keine Prüfung und Schulung kann dir helfen IT Sicherheit zu verstehen
    >
    > Du weist lediglich, das es sowas gibt nach der Schulung. IT-Sicherheit ist
    > wie CS spielen. Man verliert am anfang gegen die erfahrenen Gegner. Aber je
    > mehr man spielt desdo besser wird man und irgendwann kann man sie auch
    > besiegen. So ähnlich ist der Kampf gegen Hacker die destruktives im Sinn
    > haben. Die lassen ihre Phantasie spielen und kommen auf Dinge, die dir nie
    > einfallen würden. jemand der tausend Schulungen gemacht hat und alles
    > bestanden, zeigt das er gut auswendig lernen kann. Aber er muss nicht
    > auswendig lernen sondern creativ sein. Und das kann man nicht lernen. Das
    > hat man oder man hat es nicht.


    Mag sein, dass man auf die ganzen fancy Sachen gar nicht kommt auf die ein Spitzenhacker kommt, allerdings sollten doch so grundlegende Sachen machbar sein.

    Warum müssen diese Portale eigentlich im öffentlichen Internet erreichbar sein? Warum ohne Verschlüsselung? Wieso wird so viel bereits ohne Login preisgegeben? Wieso müssen interne Config-Dateien über die Webseite lesbar sein?

    Wenn man sich mal 5 Minuten hinsetzt und eine kleine Skizze zeichnet von dem was für die Öffentlichkeit bestimmt ist und was nicht, kommt man bereits auf viele der oben genannten Sachen.

    Ob "harte Zertifikate" hier der richtige Weg sind sei mal dahingestellt, allerdings so ganz ohne irgend welche Vorgaben funktioniert auch nicht so recht.

  9. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Trockenobst 11.09.17 - 16:17

    emuuu schrieb:
    --------------------------------------------------------------------------------
    > einem oder anderen Sinne benutzt mittlerweile fast jeder und gerade wenn du
    > die (nötigen) "harten" Zertifikate in die Jobbeschreibung schreibst, werden
    > die entsprechenden Personen für das Unternehmen ziemlich teuer. Und eine
    > nicht-wertschöpfende Kraft für sagen wir mal 40 - 50k im Jahr können sich
    > viele Unternehmen nicht leisten.

    Millionen Strafe zahlen sollte <<<< kleiner sein als 100T. Eine defekte Turbine ist sicherlich günstiger als das.

    Momentan müssen einige Versicherungen und Sparkassen einen CSO einstellen. Weil es ohne den nicht mehr geht. Da geistern akut Jahresgehälter von >120T herum.

    Es gibt harte Security Tests. Nicht so highlevel "Das muss HTTPS" sein Zeug, sondern wirklich schwierige Teile,
    https://www.cbtnuggets.com/blog/2017/03/8-most-difficult-it-security-certifications/

    Ich weiß das weil ein Kumpel von mir Admin ist und bei einem schon zweimal durchgefallen ist. ;) Die Leute verwechseln DOING mit verstehen wie das DOING anzuordnen sind.

    Man kann verstehen dass z.B. die Anbindung State of the Art nur über entsprechende VPNs stattfinden sollte und für diesen Zweck kann man dann Top Leute beschaffen. Dazu muss man aber wissen was in die Ausschreibung gehört.

  10. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Trockenobst 11.09.17 - 16:20

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Keine Prüfung und Schulung kann dir helfen IT Sicherheit zu verstehen

    Ich habe keine Ahnung wie ein Auto funktioniert. Ich weiß aber dass der Scheibenwischer beim Pumpen nicht mehr funktioniert und das der Motor beim Anfahren stottert. Ein erfahrener Werkstattmeister wird für beides Leute finden, die diese Probleme lösen.

    Der Werkstattmeister muss nicht die neuerste Technik und Motorensteuerungsupdates kennen. Er muss nur wissen das es das Problem gibt und sucht sich dann die passenden Leute. Das geht nur, wenn du umfassend einen Blick auf Security hast, der nicht "Nunja, da haben wir ja ein Passwort und die Zeile oben beginnt mit HTTPS" endet.

    Der typische CIO/IT-Verantwortliche hat das nicht auf dem Schirm.

  11. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Trockenobst 11.09.17 - 16:25

    Tylon schrieb:
    --------------------------------------------------------------------------------
    > Na die Prüfung muss aber erst noch gebacken werden.
    https://www.cbtnuggets.com/blog/2017/03/8-most-difficult-it-security-certifications/

    > Da ein CSO aber meist gar nichts realisiert und solche Sachen selten tief im Detail
    > anschaut, reden wir über einen Papiertiger.

    In der Regel hat man schon einen CSO, der ist für die Onsite Security Verantwortlich.
    Genauer wäre gewesen CSIO > chief-information-security-officer

    Und das sind seine Jobs. Trivial ist nichts davon
    https://advisera.com/27001academy/knowledgebase/what-is-the-job-of-chief-information-security-officer-ciso-in-iso-27001/

  12. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Tylon 11.09.17 - 16:46

    Trockenobst schrieb:
    --------------------------------------------------------------------------------
    > chefin schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Keine Prüfung und Schulung kann dir helfen IT Sicherheit zu verstehen
    >
    > Ich habe keine Ahnung wie ein Auto funktioniert. Ich weiß aber dass der
    > Scheibenwischer beim Pumpen nicht mehr funktioniert und das der Motor beim
    > Anfahren stottert. Ein erfahrener Werkstattmeister wird für beides Leute
    > finden, die diese Probleme lösen.
    >
    > Der Werkstattmeister muss nicht die neuerste Technik und
    > Motorensteuerungsupdates kennen. Er muss nur wissen das es das Problem gibt
    > und sucht sich dann die passenden Leute. Das geht nur, wenn du umfassend
    > einen Blick auf Security hast, der nicht "Nunja, da haben wir ja ein
    > Passwort und die Zeile oben beginnt mit HTTPS" endet.
    >
    > Der typische CIO/IT-Verantwortliche hat das nicht auf dem Schirm.

    Stell Dir vor, Du weißt gar nicht, was ein Scheibenwischer ist, weil es noch nie geregnet hat und daher noch nie Bedarf hattest. Dann weißt Du außerdem nicht, dass da was kaputt ist, weil Du ihn ja nie betätigt hast. Dann weißt Du auch nicht, dass Du ihn dringend brauchst.

    Und das Ende vom Lied ist dann ne Windkraftanlage ohne VPN im Internet. Oder ne Industriesteuerung oder ne Spritzenpumpe oder ein Auto oder oder oder. Warum wird das so gemacht? Weil die Branchen alle nix mit IT am Hut haben (Neuland aber nicht nur hier) aber gehört haben, dass man sowas über das Netz wohl alles steuern kann und dann nicht hin muss. Wie praktisch.
    Ich will gar nicht sagen, dass ein Sicherheitsbeauftragter gar nichts bringt. Aber die Realität ist, dass solche Anlagen halt vom Windkraftradtechniker/SPS-Techniker/x/y/z mit aufgebaut und konfiguriert wird. Ein IT-Fachunternehmen dazu zu holen ist halt oft zu teuer. Und der Sicherheitsmensch ist genausowenig umsonst und kommt daher häufig aus dem "eh da".

  13. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: matzems 11.09.17 - 19:53

    Es gibt so viele Firmen für schlecht administriert werden. Es wird einfach nach wie vor lieber ein Porsche zum 18.Geburtstag von Sohn des Chefs gekauft, als mal ein bisle Kohle in gescheite IT investiert.
    Viele Chefs habe null Ahnung und was noch viel schlimmer ist null Interesse für IT, da die "kein Geld verdient,nur Geld kostet". Das wird sich auch so schnell nicht ändern und Windows XP wird so schnell nicht aussterben.

  14. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Trockenobst 12.09.17 - 14:31

    Tylon schrieb:
    --------------------------------------------------------------------------------
    > Ein IT-Fachunternehmen dazu zu holen ist halt oft zu teuer. Und der
    > Sicherheitsmensch ist genausowenig umsonst und kommt daher häufig aus dem
    > "eh da".

    Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs, zertifikatsgesteuerte Zugriffe etc. heben die Schwierigkeit eines Hacks um mehrere Potenzen. Dann muss sich der Angreifer auch Fragen ob sich der Angriff lohnt, wenn er nicht durch ein paar Webfrontends das Ding kaputt machen kann. Wenn das Backendsystem (also der Propeller) nicht jede Eingabe akzeptiert ist so ein System schon mal um Welten besser als "Logins bei Google finden"-Nicht-Security.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ETAS, Stuttgart
  2. CompuGroup Medical Deutschland AG, Oberessendorf
  3. Code White GmbH, Ulm
  4. Robert Bosch GmbH, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 119,90€
  2. für 1.124€ statt 1.319€
  3. und zusätzlich eine Prämie erhalten (u. a. Amazon-Gutschein, 30€ Barprämie oder Scythe Mugen 5...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
Razer Blade 15 im Test
Schlanker 15,6-Zöller für Gamer gefällt uns

Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
Ein Test von Marc Sauter

  1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
  2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

Nasa-Teleskop: Überambitioniert, überteuert und in dieser Form überflüssig
Nasa-Teleskop
Überambitioniert, überteuert und in dieser Form überflüssig

Seit 1996 entwickelt die Nasa einen Nachfolger für das Hubble-Weltraumteleskop. Die Kosten dafür stiegen seit dem von 500 Millionen auf über 10 Milliarden US-Dollar. Bei Tests fiel das Prestigeprojekt zuletzt durch lockere Schrauben auf. Wie konnte es dazu kommen?
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt US-Regierung gibt der Nasa nicht mehr Geld für Mondflug

  1. CUH-2200: Sony bietet neue Version der Playstation 4 Slim an
    CUH-2200
    Sony bietet neue Version der Playstation 4 Slim an

    Derzeit in Japan, später vermutlich auch in Europa bietet Sony eine neue Ausgabe der Playstation 4 Slim an. Trotz des mittelgroßen Versionssprungs dürften die Änderungen nur einige interne Details und die Herstellungskosten betreffen.

  2. Mobilfunkversorgung: Mehr Funklöcher in Niedersachsen als bisher bekannt
    Mobilfunkversorgung
    Mehr Funklöcher in Niedersachsen als bisher bekannt

    Überall Funklöcher in den ländlichen Regionen von Niedersachsen. Wirtschaftsminister Althusmann will nun eine Lösung. Die Opposition sagt, das Funkloch-Casting habe nichts Neues erbracht.

  3. Games: Smartphone hat PC als beliebteste Spieleplattform überholt
    Games
    Smartphone hat PC als beliebteste Spieleplattform überholt

    Bislang galt Deutschland als Hochburg des PC-Gaming, jetzt ist das Smartphone die beliebteste Spieleplattform. Die aktuellen Zahlen zeigen auch, dass es Kauf-Apps gegenüber dem Geschäft mit Zusatzinhalten und virtuellen Gütern immer schwerer haben.


  1. 18:51

  2. 17:36

  3. 17:09

  4. 16:36

  5. 16:16

  6. 15:53

  7. 15:38

  8. 15:00