Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Energieversorgung: Windparks sind…

Gesetzlich einen CSO verpflichtend machen

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Gesetzlich einen CSO verpflichtend machen

    Autor: Trockenobst 11.09.17 - 12:25

    CSO = Chief Security Officer

    Und dem dann diverse harte Security Business Zertifikate in die Jobbeschreibung reinhängen.

    Die FIrma kriegt keine Entlastung für ihren Jahresabschluss ohne den Bericht des CSOs, der CSO wird diese wegen Verletzungs seiner Dienstpflicht nicht erteilen, wenn die möglichste Security nicht umgesetzt wird.

    Ohne Entlastung für den Jahresabschluss kriegen die Investoren keine juristisch stabile Aussage mit der sie Geld einsammeln können, weil es das Risiko gibt dass man vielleicht für Millionen noch die Security hochziehen muss.

    Die Regierungen weigern sich jedoch dies zu tun, weil das die Firmen immer Millionen wenn nicht sogar Milliarden kosten würde. Und so viele fähige CSOs gibt es aktuell nicht.

  2. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: emuuu 11.09.17 - 13:04

    Im Grund stimme ich dir zu, dass gewisse gesetzliche Regelungen hermüssen was die IT-Sicherheit angeht.

    Allerdings ist da die Schwierigkeit wo du die grenze ziehen willst. Einem relativ kleinen Unternehmen würdest du damit die Luft abdrehen. IT in dem einem oder anderen Sinne benutzt mittlerweile fast jeder und gerade wenn du die (nötigen) "harten" Zertifikate in die Jobbeschreibung schreibst, werden die entsprechenden Personen für das Unternehmen ziemlich teuer. Und eine nicht-wertschöpfende Kraft für sagen wir mal 40 - 50k im Jahr können sich viele Unternehmen nicht leisten.

    Ich würde da eher den Weg über die Gefährdungsanalyse gehen. Jede Firma muss ohnehin für Ihre Arbeitsstätten Gefährdungsanalysen durchführen. Sowas könnte man auch für die IT-Infrastruktur verpflichtend machen. Gerade für die Firmen die sich kein eigenes Personal dafür leisten können, kann man dies an Drittanbieter abgeben.

  3. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Tylon 11.09.17 - 13:06

    Na auf gehts. Wenn der Mensch nen Zettel hat, muss er das ja alles können. Spitzenklasse Vorschlag.
    -> sorry aber ein Iso-Aufkleber sagt gar nichts.

  4. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: emuuu 11.09.17 - 13:33

    Tylon schrieb:
    --------------------------------------------------------------------------------
    > Na auf gehts. Wenn der Mensch nen Zettel hat, muss er das ja alles können.
    > Spitzenklasse Vorschlag.
    > -> sorry aber ein Iso-Aufkleber sagt gar nichts.

    Denke das meinte er mit "harten" Zertifikaten. Also solchen die du nur nach bestandenen Schulungen und Prüfungen erhälst.

  5. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Blackhazard 11.09.17 - 13:44

    Zitate aus meinem Leben als IT-Admin:

    "IT ist sinnlos und bringt kein Geld."
    "Der Rechner funktioniert doch, ist halt etwas lahm aber funktioniert"
    "IT-Sicherheit? Ich hab doch mein Passwort nicht aufgeschrieben"
    "Wozu muss ich mich ständig an "meinem" anmelden? Das nervt und kostet massig Zeit"
    "Wozu brauch ich denn eine Firewall?"
    ....
    ...

    da fallen mir noch viele viele Beispiele ein. Solche Sätze bekommt man als Admin vom Mitarbeiter oder sogar dem Chef in einem Krankenhaus zu hören oder in einer kleinen bis großen IT-Programmierschmiede.
    Was ich als Admin dann mache? Tja sofern jeder Versuch und jede Erklärung scheitert, die Firma verlassen und sich die bald auftretenden Probleme erst gar nicht antun.

  6. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Tylon 11.09.17 - 14:03

    emuuu schrieb:
    --------------------------------------------------------------------------------
    > Tylon schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Na auf gehts. Wenn der Mensch nen Zettel hat, muss er das ja alles
    > können.
    > > Spitzenklasse Vorschlag.
    > > -> sorry aber ein Iso-Aufkleber sagt gar nichts.
    >
    > Denke das meinte er mit "harten" Zertifikaten. Also solchen die du nur nach
    > bestandenen Schulungen und Prüfungen erhälst.

    Na die Prüfung muss aber erst noch gebacken werden. Ne Iso z.B. beschäftigt sich hauptsächlich damit, dass man aufschreibt, was man tut und hat paar good practices dabei (benutz ne Firewall - hey klasse!).
    Nen SSL-Zertifikatsfehler durch veraltete Verschlüsselung entdeckt man damit nicht. Auch nach der Prüfung nicht. Das fällt inzwischen Gott sei dank durch die Browser auf. Aber in der Regel steht da drin "geeignete Maßnahmen auf dem Stand der Technik".
    Und wenn es schon eher ins eingemachte geht, dass jemand nen CCNP o.ä. hat, ist er in der Regel zu fachbezogen um sich in anderen Bereichen ähnlich tief auszukennen.

    Einer, der IT-Sicherheit macht, reicht für das beschriebene selten aus, um es ordentlich zu realisieren. Da ein CSO aber meist gar nichts realisiert und solche Sachen selten tief im Detail anschaut, reden wir über einen Papiertiger.
    Was hier im Artikel geschrieben ist, hätte in den 90ern oder für zuhause auch alles ausgereicht "halt das es geht". Wie man aber sieht, ist das nicht ausreichend. Es braucht sicherheitsaffine Techniker, die sich die Fragen beim realisieren selbst stellen und nicht nur vom Whitepaper "abmalen".

  7. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: chefin 11.09.17 - 14:22

    emuuu schrieb:
    --------------------------------------------------------------------------------
    > Tylon schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Na auf gehts. Wenn der Mensch nen Zettel hat, muss er das ja alles
    > können.
    > > Spitzenklasse Vorschlag.
    > > -> sorry aber ein Iso-Aufkleber sagt gar nichts.
    >
    > Denke das meinte er mit "harten" Zertifikaten. Also solchen die du nur nach
    > bestandenen Schulungen und Prüfungen erhälst.

    Keine Prüfung und Schulung kann dir helfen IT Sicherheit zu verstehen

    Du weist lediglich, das es sowas gibt nach der Schulung. IT-Sicherheit ist wie CS spielen. Man verliert am anfang gegen die erfahrenen Gegner. Aber je mehr man spielt desdo besser wird man und irgendwann kann man sie auch besiegen. So ähnlich ist der Kampf gegen Hacker die destruktives im Sinn haben. Die lassen ihre Phantasie spielen und kommen auf Dinge, die dir nie einfallen würden. jemand der tausend Schulungen gemacht hat und alles bestanden, zeigt das er gut auswendig lernen kann. Aber er muss nicht auswendig lernen sondern creativ sein. Und das kann man nicht lernen. Das hat man oder man hat es nicht.

  8. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: dEEkAy 11.09.17 - 15:14

    chefin schrieb:
    --------------------------------------------------------------------------------
    > emuuu schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Tylon schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Na auf gehts. Wenn der Mensch nen Zettel hat, muss er das ja alles
    > > können.
    > > > Spitzenklasse Vorschlag.
    > > > -> sorry aber ein Iso-Aufkleber sagt gar nichts.
    > >
    > > Denke das meinte er mit "harten" Zertifikaten. Also solchen die du nur
    > nach
    > > bestandenen Schulungen und Prüfungen erhälst.
    >
    > Keine Prüfung und Schulung kann dir helfen IT Sicherheit zu verstehen
    >
    > Du weist lediglich, das es sowas gibt nach der Schulung. IT-Sicherheit ist
    > wie CS spielen. Man verliert am anfang gegen die erfahrenen Gegner. Aber je
    > mehr man spielt desdo besser wird man und irgendwann kann man sie auch
    > besiegen. So ähnlich ist der Kampf gegen Hacker die destruktives im Sinn
    > haben. Die lassen ihre Phantasie spielen und kommen auf Dinge, die dir nie
    > einfallen würden. jemand der tausend Schulungen gemacht hat und alles
    > bestanden, zeigt das er gut auswendig lernen kann. Aber er muss nicht
    > auswendig lernen sondern creativ sein. Und das kann man nicht lernen. Das
    > hat man oder man hat es nicht.


    Mag sein, dass man auf die ganzen fancy Sachen gar nicht kommt auf die ein Spitzenhacker kommt, allerdings sollten doch so grundlegende Sachen machbar sein.

    Warum müssen diese Portale eigentlich im öffentlichen Internet erreichbar sein? Warum ohne Verschlüsselung? Wieso wird so viel bereits ohne Login preisgegeben? Wieso müssen interne Config-Dateien über die Webseite lesbar sein?

    Wenn man sich mal 5 Minuten hinsetzt und eine kleine Skizze zeichnet von dem was für die Öffentlichkeit bestimmt ist und was nicht, kommt man bereits auf viele der oben genannten Sachen.

    Ob "harte Zertifikate" hier der richtige Weg sind sei mal dahingestellt, allerdings so ganz ohne irgend welche Vorgaben funktioniert auch nicht so recht.

  9. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Trockenobst 11.09.17 - 16:17

    emuuu schrieb:
    --------------------------------------------------------------------------------
    > einem oder anderen Sinne benutzt mittlerweile fast jeder und gerade wenn du
    > die (nötigen) "harten" Zertifikate in die Jobbeschreibung schreibst, werden
    > die entsprechenden Personen für das Unternehmen ziemlich teuer. Und eine
    > nicht-wertschöpfende Kraft für sagen wir mal 40 - 50k im Jahr können sich
    > viele Unternehmen nicht leisten.

    Millionen Strafe zahlen sollte <<<< kleiner sein als 100T. Eine defekte Turbine ist sicherlich günstiger als das.

    Momentan müssen einige Versicherungen und Sparkassen einen CSO einstellen. Weil es ohne den nicht mehr geht. Da geistern akut Jahresgehälter von >120T herum.

    Es gibt harte Security Tests. Nicht so highlevel "Das muss HTTPS" sein Zeug, sondern wirklich schwierige Teile,
    https://www.cbtnuggets.com/blog/2017/03/8-most-difficult-it-security-certifications/

    Ich weiß das weil ein Kumpel von mir Admin ist und bei einem schon zweimal durchgefallen ist. ;) Die Leute verwechseln DOING mit verstehen wie das DOING anzuordnen sind.

    Man kann verstehen dass z.B. die Anbindung State of the Art nur über entsprechende VPNs stattfinden sollte und für diesen Zweck kann man dann Top Leute beschaffen. Dazu muss man aber wissen was in die Ausschreibung gehört.

  10. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Trockenobst 11.09.17 - 16:20

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Keine Prüfung und Schulung kann dir helfen IT Sicherheit zu verstehen

    Ich habe keine Ahnung wie ein Auto funktioniert. Ich weiß aber dass der Scheibenwischer beim Pumpen nicht mehr funktioniert und das der Motor beim Anfahren stottert. Ein erfahrener Werkstattmeister wird für beides Leute finden, die diese Probleme lösen.

    Der Werkstattmeister muss nicht die neuerste Technik und Motorensteuerungsupdates kennen. Er muss nur wissen das es das Problem gibt und sucht sich dann die passenden Leute. Das geht nur, wenn du umfassend einen Blick auf Security hast, der nicht "Nunja, da haben wir ja ein Passwort und die Zeile oben beginnt mit HTTPS" endet.

    Der typische CIO/IT-Verantwortliche hat das nicht auf dem Schirm.

  11. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Trockenobst 11.09.17 - 16:25

    Tylon schrieb:
    --------------------------------------------------------------------------------
    > Na die Prüfung muss aber erst noch gebacken werden.
    https://www.cbtnuggets.com/blog/2017/03/8-most-difficult-it-security-certifications/

    > Da ein CSO aber meist gar nichts realisiert und solche Sachen selten tief im Detail
    > anschaut, reden wir über einen Papiertiger.

    In der Regel hat man schon einen CSO, der ist für die Onsite Security Verantwortlich.
    Genauer wäre gewesen CSIO > chief-information-security-officer

    Und das sind seine Jobs. Trivial ist nichts davon
    https://advisera.com/27001academy/knowledgebase/what-is-the-job-of-chief-information-security-officer-ciso-in-iso-27001/

  12. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Tylon 11.09.17 - 16:46

    Trockenobst schrieb:
    --------------------------------------------------------------------------------
    > chefin schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Keine Prüfung und Schulung kann dir helfen IT Sicherheit zu verstehen
    >
    > Ich habe keine Ahnung wie ein Auto funktioniert. Ich weiß aber dass der
    > Scheibenwischer beim Pumpen nicht mehr funktioniert und das der Motor beim
    > Anfahren stottert. Ein erfahrener Werkstattmeister wird für beides Leute
    > finden, die diese Probleme lösen.
    >
    > Der Werkstattmeister muss nicht die neuerste Technik und
    > Motorensteuerungsupdates kennen. Er muss nur wissen das es das Problem gibt
    > und sucht sich dann die passenden Leute. Das geht nur, wenn du umfassend
    > einen Blick auf Security hast, der nicht "Nunja, da haben wir ja ein
    > Passwort und die Zeile oben beginnt mit HTTPS" endet.
    >
    > Der typische CIO/IT-Verantwortliche hat das nicht auf dem Schirm.

    Stell Dir vor, Du weißt gar nicht, was ein Scheibenwischer ist, weil es noch nie geregnet hat und daher noch nie Bedarf hattest. Dann weißt Du außerdem nicht, dass da was kaputt ist, weil Du ihn ja nie betätigt hast. Dann weißt Du auch nicht, dass Du ihn dringend brauchst.

    Und das Ende vom Lied ist dann ne Windkraftanlage ohne VPN im Internet. Oder ne Industriesteuerung oder ne Spritzenpumpe oder ein Auto oder oder oder. Warum wird das so gemacht? Weil die Branchen alle nix mit IT am Hut haben (Neuland aber nicht nur hier) aber gehört haben, dass man sowas über das Netz wohl alles steuern kann und dann nicht hin muss. Wie praktisch.
    Ich will gar nicht sagen, dass ein Sicherheitsbeauftragter gar nichts bringt. Aber die Realität ist, dass solche Anlagen halt vom Windkraftradtechniker/SPS-Techniker/x/y/z mit aufgebaut und konfiguriert wird. Ein IT-Fachunternehmen dazu zu holen ist halt oft zu teuer. Und der Sicherheitsmensch ist genausowenig umsonst und kommt daher häufig aus dem "eh da".

  13. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: matzems 11.09.17 - 19:53

    Es gibt so viele Firmen für schlecht administriert werden. Es wird einfach nach wie vor lieber ein Porsche zum 18.Geburtstag von Sohn des Chefs gekauft, als mal ein bisle Kohle in gescheite IT investiert.
    Viele Chefs habe null Ahnung und was noch viel schlimmer ist null Interesse für IT, da die "kein Geld verdient,nur Geld kostet". Das wird sich auch so schnell nicht ändern und Windows XP wird so schnell nicht aussterben.

  14. Re: Gesetzlich einen CSO verpflichtend machen

    Autor: Trockenobst 12.09.17 - 14:31

    Tylon schrieb:
    --------------------------------------------------------------------------------
    > Ein IT-Fachunternehmen dazu zu holen ist halt oft zu teuer. Und der
    > Sicherheitsmensch ist genausowenig umsonst und kommt daher häufig aus dem
    > "eh da".

    Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs, zertifikatsgesteuerte Zugriffe etc. heben die Schwierigkeit eines Hacks um mehrere Potenzen. Dann muss sich der Angreifer auch Fragen ob sich der Angriff lohnt, wenn er nicht durch ein paar Webfrontends das Ding kaputt machen kann. Wenn das Backendsystem (also der Propeller) nicht jede Eingabe akzeptiert ist so ein System schon mal um Welten besser als "Logins bei Google finden"-Nicht-Security.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Bechtle IT-Systemhaus GmbH, Düsseldorf, Krefeld
  2. andagon GmbH, Köln
  3. operational services GmbH & Co. KG, Berlin, Frankfurt, Nürnberg, Zwickau, Dresden
  4. Robert Bosch GmbH, Stuttgart-Vaihingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 169€
  2. 274,90€ + 3,99€ Versand
  3. 239,53€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dokumentarfilm Pre-Crime: Wenn Computer Verbrechen vorhersagen
Dokumentarfilm Pre-Crime
Wenn Computer Verbrechen vorhersagen

Programmiersprache für Android: Kotlin ist auch nur eine Insel
Programmiersprache für Android
Kotlin ist auch nur eine Insel
  1. Programmiersprache Fetlang liest sich "wie schlechte Erotikliteratur"
  2. CMS Drupal 8.4 stabilisiert Module
  3. Vespa Yahoos Big-Data-Engine wird Open-Source-Projekt

Core i7-8700K und Core i5-8400 im Test: Ein Sechser von Intel
Core i7-8700K und Core i5-8400 im Test
Ein Sechser von Intel
  1. Core i7-8700K Ultra Edition Overclocking-CPU mit Silber-IHS und Flüssigmetall
  2. Intel Coffee Lake Von Boost-Betteln und Turbo-Tricks
  3. Coffee Lake Intel verkauft sechs Kerne für unter 200 Euro

  1. Nvidia: Shield TV ohne Controller kostet 200 Euro
    Nvidia
    Shield TV ohne Controller kostet 200 Euro

    Bisher verkaufte Nvidia das Shield TV für 230 Euro, mittlerweile gibt es auch eine günstigere Variante. Der fehlt der Gaming-Controller, die Fernbedienung liegt weiter bei. Der Fokus verschiebt sich daher auf Streaming, der neue Google Assistent hilft dabei.

  2. Die Woche im Video: Wegen Krack wie auf Crack!
    Die Woche im Video
    Wegen Krack wie auf Crack!

    Golem.de-Wochenrückblick Ein Problem beim WPA2-Standard lässt viele ausflippen, wir bewahren Ruhe. Wir begeistern uns stattdessen für einen winzigen Laptop, kämpfende Roboter und ein episches Star-Wars-Abenteuer. Sieben Tage und viele Meldungen im Überblick.

  3. Windows 10: Fall Creators Update macht Ryzen schneller
    Windows 10
    Fall Creators Update macht Ryzen schneller

    Berichten in Foren und bei Reddit zufolge soll das Windows 10 Fall Creators Update mehr Geschwindigkeit aus den Ryzen-Prozessoren herausholen. Das stimmt aber nur dann, wenn der Nutzer zuvor die AMD-Software nicht aktualisiert hat.


  1. 11:59

  2. 09:03

  3. 22:38

  4. 18:00

  5. 17:47

  6. 16:54

  7. 16:10

  8. 15:50