Besuchsbericht ISACA 1. IT-GRC Congress

 

Der deutsche Ableger des US-Berufsverbandes der IT-Auditoren, ISACA, hat seinen ersten GRC (Governance, Risk, Compliance)-Kongress abgehalten. Die Veranstaltung war mit 250 Teilnehmern gut besucht und bot gut dreißig Fachvorträge in zwei Tagen. Die Teilnehmer waren überwiegend Verbandsmitglieder.

Bevor ich auf einige Vorträge etwas genauer eingehe will ich voraussicken, daß sich hinter GRC die dispositive Ebene, die Leitungsebene der IT, mit einem Instrumentarium an analytischen und planerischen Methoden verbirgt. Sie hat zwar viel mit IT Security zu tun, ist aber damit nicht gleichzusetzen, denn sie betrachtet die gesamte IT.

Wichtig: Ich greife hier nur einige Aspekte der Vorträge heraus - es sind keine vollständigen Zusammenfassungen!

In der Einführungsrede hat Andreas Braun (Vorstand des DIIR) angemahnt, daß wir in der IT Schritt halten müssen mit der aufkommenden Kultur des Ausprobierens, den Mitarbeitern mehr Verantwortung zubilligen müssen - und ganz besonders schneller werden müssen, um die Herausforderungen der Märkte zu meistern.

Christoph Wegener hat sich dem Aspekt der Kryptographie in der breiten (öffentlichen) Nutzung zugewandt und das Problem des Schlüsselmanagements hervorgehoben. Im zufolge wird es oft recht sorglos behandelt, die Debatten drehen sich mehr um sichere Kryptosysteme und Algorithmen – obwohl die Gesetzgebung durchaus differenzierte Betrachtungen verlangt (vgl. FISMA).  Herausforderungen wie die langfristige Sicherheit von Krypto-Mechanismen (data-at-rest) oder Schlüssel-Aufbewahrung blieben demnach oft gänzlich unbeachtet. Er wandte sich den Anonymisierungstechniken zu und stellt heraus, daß laut BFDI eine Verschlüsselung allein nicht als Anonymisierung gilt. Mit den Methoden von Big Data allerdings können durch Aggregation selbst gut anonymisierter Datenbestände Rückschlüsse auf Individuen gezogen werden. Als Beispiel führte er den medizinischen Bereich an (siehe http://www.sciencedirect.com/science/article/pii/S2212066115300363). Als letztes sprach Wegener über Sicherheit bei der Beschaffung, die seine Erachtens stiefmütterlich behandelt wird; funktionale Aspekte stehen seiner Meinung nach auch und gerade im Zeitalter der Schatten-IT immer noch vor Sicherheitsüberlegungen.

Der Stand des IT Sicherheitsgesetzes war das Vortragsthema von Dirk Hölzer und Peer Herrmann. Sie zeigten zunächst die Entwicklung der KRITIS-Verordnung (siehe http://www.kritis.bund.de/SubSites/Kritis/DE/Home/home_node.html) auf und besprachen einige unpräzise Formulierungen wie die Forderung, die getroffenen Sicherheitsmaßnahmen müßten „dem Stand der Technik entsprechen“. Das Verfahren sieht derzeit vor, daß diese Punkte von den jeweiligen Branchenverbänden (z.B. BITKOM) auszuformulieren sind – aus Sicht der Referenten nicht ganz unproblematisch, denn eine objektive Qualität wird damit nicht gewährleistet. Gleichwohl gewährt die Einhaltung dieser Anforderungen den betreffenden Unternehmen Rechtssicherheit (jedenfalls solange sie sich im deutschen Rechtsraum bewegen). Anschließend wurde der Bezug zur überlappenden europäische NIS-Richtlinie hergestellt (siehe https://www.recht-freundlich.de/nis-richtlinie/nis-richtlinie-und-cloud-anbieter-neue-gesetzliche-herausforderungen) und die Bedeutung von Dienstleistersteuerung für die Unternehmen betont.

 Dr. Stefan Wagner beleuchtete Lösungen für Audit Management – nicht sonderlich erkenntnisreich bis auf den Verweis auf die Arbeit der DCSO, die deutsche Cybersicherheitsorganisation. Eventuell lohnt es sich anzuschauen, ob diese Fachkollegen als Multiplikatoren in Frage kämen.

 Spannend und unterhaltsam war der Vortrag von Holger Klindtworth, der über den Generationswechsel in der IT sprach. Der Umbruch in der Handelswelt („offline? Gibt es nicht mehr!“) sei zwar IT-getrieben, diese wiederum aber nur Mittel zum Zweck. Zur Illustration der Fähigkeiten moderner Onlineshops brachte er das Beispiel eines Drogendealers, der sich eine Waage und andere Utensilien bei amazon bestellte was dazu führte, daß künftige Besteller der Waage ein komplettes Drogenlabor angeboten bekamen („haben andere auch gekauft:…“, „könnte Sie auch interessieren:…“).

 Dank der jungen Generation entwickle sich Omnichannel rapide vom Modewort zum Alltag - der Betrieb entsprechender Handelsplattformen sei eine riesige Compliance-Herausforderung (Anm.: Man denke nur an PCI-DSS oder die Verwaltung und Nutzung der Kundendaten), insbesondere weil sie sich so schnell änderten. Für ihre Entwicklung kämen ausschließlich Scrum-Methoden zum Einsatz, die aber nur mit Werkverträgen abzubilden seien – für viele Auftraggeber problematisch. Klindtworth wies darauf hin, daß Steuerbehörden bei der Nutzung von Big Data Vorreiter waren – daher sei es heute einfacher erfolgreich Drogen zu dealen als Steuern zu hinterziehen. Junge Menschen sollten sich das merken und die älteren müssten sich die neue Variante der Maslow’schen Bedürfnispyramide einprägen.

Überhaupt seien die Denkmuster und Erfahrungsschätze der Generationen im Hinblick auf IT grundverschieden und so schloss er mit der Folgerung, daß Wissensmanagement ebenso wie eine klare IT-Strategie für Unternehmen heute keine Option, sondern eine Notwendigkeit sind.

 Das Thema „Blockchain“ war während der gesamten Veranstaltung immer als Metapher für den digitalen Wandel zu hören. Es beschreibt eine Finanztechnologie, die einen Großteil des heute etablierten Systems obsolet machen könnte, wenn sie konsequent eingeführt würde. Das wiederum ist nicht ganz unwahrscheinlich, denn die Methode liefert Behörden ein ungekanntes Maß an Transparenz.
Siehe auch
http://www.faz.net/aktuell/finanzen/devisen-rohstoffe/blockchain-soll-finanzwelt-revolutionieren-14120922.html

 Auch Gunter Dueck thematisierte Blockchain in seiner Keynote über die „Welt nach Cloud Computing“ und zählte eine ganze Reihe von Industrien auf, in denen die heutigen Big Player reihenweise disruptive Trends verschlafen und daher seiner Meinung nach wahrscheinlich verschwinden werden. Die Denkfehler sind aus seiner Sicht stets ähnlich: Man belächle z.B. einen Tesla Fahrassistenten, der einen Fehler gemacht habe und vergesse, daß beim nächsten Update alle Tesla davon befreit seien und sich somit schnell eine „kollektive Intelligenz“ aufbaue, die bald die Fähigkeiten des durchschnittlichen Autofahrers weit überflügeln werde. Völlig losgelöst von unserer Jetzt-Zeit ist ihm zufolge die Schule, wo von Lehrern in ihrer digitalen Ahnungslosigkeit reihenweise Dienstvergehen begangen werden, die sie „Unterricht“ nennen.

(Mein Tipp: Das hier geht in die gleiche Richtung: http://www.omnisophie.com/dd268-staerken-staerken-schwaechen-schwaechen-leute-das-reicht-nicht-juni-2016/)

 Auf dem Kongress wurde viel über Schatten-IT gesprochen, was meiner Meinung nach auch viel mit dem Generationenproblem in der IT zu tun hat.

Ein weiteres gern verwendetes Buzzword war SMAC, ein Akronym für Social, Mobile, Analytics and (und) Cloud, bezeichnet die IT “Megatrends” im Rest der Dekade.
Paßt meines Erachtens gut zur „guten, alten“ VUCA-World (
https://www.welt.de/wirtschaft/karriere/article134336464/Sind-unsere-Fuehrungskraefte-wirklich-fit-fuer-VUCA.html )

 In seinem Beitrag „Sorry, We Got Hacked“ zur Krisenkommunikation in der IT stellt Torsten Rössing das SCCT-Modell vor (https://en.wikipedia.org/wiki/Situational_crisis_communication_theory), das eine systematischen Umgang mit Krisen anhand von Schematisierung (Krisentypen) und Kommunikationsstrategien erlaubt – vor dem Hintergrund des übergeordneten Ziels der Vermeidung oder Eindämmung von Reputationsverlust.
Merke: „Sie haben eine Krisensituation, wenn ihre Stakeholder (Anspruchsträger) glauben, Sie hätten eine!“

Der FTP Bundesvorsitzende Lindner betrachtete Deutschland als Startup (in Bezug auf die Digitalisierung) und geißelte die zögerliche bzw. widersprüchliche Haltung der Regierung zum Thema Digitalisierung am Beispiel des Regelung für die letzte Meile („jetzt wieder ein Telekom-Monopol – dort setzt man auf Kupfer!“). Wir seien derart langsam und rückständig, daß in der Berliner Stadtverwaltung „Aktensucher“ eingestellt würden – Leute, die Aktenordner im Archiv hervorsuchen. Man wolle dort bis 2025 auf elektronische Datenhaltung umstellen. Er stellte eine Reihe von Forderungen auf: Es müsse ein neues Datenschutzrecht her, bei dem die Nutzung der Daten grundsätzlich erlaubt sei - betroffene müssen explizit widersprechen. Er hob besonders die digitale Misere an den Schulen hervor. Fazit: Wir sollten uns von der „German Angst“ befreien und daher sei eine Mentalitätsreform dringend notwendig.

 

Am Rande des Kongresses wurde die Berufsfeldstudie für IT Governance 2016 vorgestellt, hier einige Ergebnisse im Überblick:

·        IT Governance wird (noch) vorwiegend in großen Unternehmen aktiv betrieben

·        IT Governance wird überwiegend auf Leitungs-/GF-Ebene gesehen

·        Viele (>37%) der IT Governance-Experten haben große Kenntnisse in IT Sicherheit / Cyber Security

·        Geschäftsführer/Vorstände sind beim Thema IT Governance sensibler als ihre Mitarbeiter

 

Alle Ergebnisse hier:
https://isaca.de/sites/pf7360fd2c1.dev.team-wd.de/files/attachements/isaca_berufsfeldstudie_2016_download.pdf

 

Mein persönlicher Eindruck war, daß wir hier ein junges Forum für sehr spannende IT-Themen haben, das stark der Leitungsebene von Unternehmen zugewandt ist und sich in den kommenden Jahren zu einer wichtigen Plattform für den fachlichen Austausch entwickeln wird.

SeitTest-Zertifikat