Weitere Informationen folgen in Kürze unter www.internet-security-days.de und für die Wartezeit ein paar Impressionen aus dem letzten Jahr…. Wir freuen uns auf Sie!

The huge InfoSecurity Europe event (otherwise known as Infosec to the regulars) took place for the 17th time between 24-26 April at Earls Court, London. Members of the eco team were there to get a feel for what claims to be ‘Europe’s No.1 Information Security Event’, check out the latest trends and concerns from the industry, and meet some peers to promote eco – in particular our own Internet Security Days event in September. 

It appears that IT security, in times of economic hardship, is still considered too important to include in organisational budget cuts, proof of which could be seen at this year’s InfoSecurity event. Visitor numbers were up from 10,462 to 12, 959 on 2011 and there were over 350 exhibitors. The show floor was busy and bustling with business activity. And it’s not surprising given cybercrime reportedly cost the world an amazing $380 billion a year – claimed Neelie Kroes, the European Commission Vice-President, in her keynote speech at Infosecurity Europe – making the protection of IT users and citizens a costly business that can’t afford cuts.

Kroes continued to explain that since everyone uses computers, cyberattacks can affect everyone, meaning that cybersecurity is no longer the domain of national security authorities and needs a comprehensive solution that involves governments, businesses and individuals. To assist this she explained that the European Commission will present a plan – a European strategy for internet security – in the third quarter of this year. The plan will be based around five key areas. Firstly, there is a need to build a network to respond to cyber threats and share that information - EU member countries will be asked to guarantee their minimum capabilities to respond adequately to threats, as well as sharing critical information in a secure and confidential manner.

Secondly, says Kroes, there needs to be a governance structure with member countries being required to establish competent authorities to centralise
information and create regional forums to support collaboration with the private sector. Kroes added that the third aim of the strategy plan will be to improve security at every point in the supply chain. The fourth aim, she says, will centre on the creation of a vibrant IT security market. The fifth prong of the EC’s strategy, she explained, is that Internet security is not a Europe-only problem, but an international one, meaning that everyone must be involved in the creation of a more secure Internet.
During the event we discovered a few underlying themes from talking to the exhibitors and attending a few of the many key-notes and sessions. The first was the increasing trend towards BYOD, or ‘bring-your-own-device’, into the workplace and the security implications of this trend. Most IT security professionals speaking at the event were shouting loudly about the dangers of BYOD. In particular, Simon Wise, deputy head of the Ministry of Defence’s (MoD) global operations security centre, commented, “We have a bring you own policy and it’s simple: Don’t!”

The key risk with BYOD, he told delegates, is the fact that unauthorized devices pose a serious threat to the rest of the network – which in the MoD’s case involves around 750,000 IP-enabled devices. Wise revealed that the MoD deals with 200 different firms’ IT systems, of which it has 20 main suppliers. As a result, he says, its suppliers need to be more honest about their position in the market, rather than claiming they have a `magic box’ solution to cyber security requirements.

The second most prominent theme seemed to center around social media, specifically security coming more and more into the world of corporate communications. It seems the days when a simple press release approval process would suffice have well and truly gone. There are now multiple customer engagement tools online that involve real-time reactions and publishing of information to keep up with competitors in the online social sphere.

Martin Alldrick, CISO of Lloyds, commented that ‘There is a plethora of very detailed information constantly being submitted via the likes of Twitter, and I’m amazed at what people are prepared to post regarding their own personal lives and data…this is what fraudsters harvest.’ Alldrick continued to explain that companies absolutely need to authorize specific employees who are trained and skilled at using social media in the right way and understand the risk. Policies should be in place and those authorised should be educated about those policies. He continued to explain that this also protects a company in the case they need to fire an employee for publishing confidential or inappropriate content via social media. Alldrick commented, ‘If you have the policies and you’ve provided the appropriate training then the courts will be more likely to favor the employer in any arising employment tribunals.’ Alldrick also highlighted that, ‘IT security professionals should remember, however, that they are their to help enable business not disable it.’

Besides social media being a hot topic in the event’s sessions it also seemed to be a hot security issue on the exhibition floor, with many of the exhibiting companies taking advantage of the increasing headache for security professionals and promoting their last product and service offerings for social media monitoring, analysis and encryption tools.

Parallel to the Infosecurity event, in Earls Court 2, was InternetWorld, a large digital business event, tailored more to front end web professionals dealing with digital marketing, email campaign management and web development. We took the opportunity to swing by and chat to a few email companies regarding eco’s mass-mail whitelisting service for ISPs and recipients, Certified Senders Alliance.

Infosecurity Europe 2013 will run from the 23rd – 25th April next year, in Earls Court, London.

Die Bedrohungslage wird noch einmal kritischer gesehen.
90 % der Befragten gehen für 2012 von wachsenden oder sogar stark wachsenden Bedrohungen aus (Vorjahr 85 %). Unverändert rechnen nur 2 % für 2012 mit sinkenden Sicherheitsausgaben.

Boom-Thema für 2012 ist die Sicherheit der Mobile Devices. Im Jahr zuvor noch an Rang 3 der technischen Themen plaziert, liegen die Smartphones und Tablet-Computer hier nun mit Abstand vorn und haben den größten Sprung aller Themen gemacht. Bei den To-Go-Geräten wirkt sich der starke Druck von der Konsumentenseite her aus, der in den Unternehmen über die Work-Life Integration als ”Bring Your Own Device”-Trend landet und komplett neue Sicherheitsanforderungen stellt. Erstmalig hat damit ein technisches Thema mehr als 80 % Antworten im Bereich “wichtig”/”sehr wichtig” erhalten, was bisher nur bei den organisatorischen Sicherheitsthemen der Fall war.

Diese zweite Gruppe von Sicherheitsthemen blieb in ihrer Bewertung zum zweiten Mal bemerkenswert unverändert gegenüber dem Vorjahr. In der Wichtigkeit führt hier wiederum der Datenschutz, gefolgt von der Mitarbeiter- Sensibilisierung. Dass die Ergebnisse des Vorjahres bei den organisatorischen Sicherheitsthemen so einheitlich wiederholt wurden, weist auch auf eine hohe Relevanzgüte der Befragung hin.

Die eher technischen Sicherheitsthemen unterliegen wie in der Vergangenheit teilweise einem sehr schnellen zeitlichen Wandel. Cloud Security, im letzten Jahr mit dem größten Wichtigkeitszuwachs, hat an Bedeutung noch einmal zugenommen und sich damit von Rang fünf auf Rang drei entwickelt. Hinter den Mobile Devices ist das zweitwichtigste Thema die Schadsoftware im Web, im Vorjahr noch auf Platz 1 gelegen. Einen deutlichen Abwärtstrend gab es dagegen bei der Email-Archivierung, ihre Sicherheitsbedeutung hat signifikant nachgelassen.

Bemerkenswert ist die offensichtlich weiter verbesserte Spamerkennung. Nur noch 38 % der Befragten hält sie für immer noch verbesserungsbedürftig. In der Vergangenheit lag diese Quote mit 47 % und 50 % deutlich höher.

Wir stellten diesmal auch einige politische Fragen. Dabei stellte sich heraus, dass nur 8% uneingeschränkt der Meinung sind, dass die IT-Sicherheit in der Politik richtig wahrgenommen wird.

Die Ergebnisse im Einzelnen finden Sie hier als PDF-Download.

Am 1.2.2012 traf sich die Kompetenzgruppe Sicherheit zu ihrer ersten Sitzung im neuen Jahr. 29 Teilnehmer aus ganz Deutschland waren unserer Einladung gefolgt um neue Wege und Methoden im Bereich der Security Awarness kennenzulernen.

Fachbereichsleiter Markus Schaffrin und Kompetenzgruppenleiter Dr. Kurt Brand begrüßten die Teilnehmer im eco Büro in Köln.

Durch den Nachmittag führte Marcus Beyer, Security Awarness Architect bei der ISPIN AG aus Zürich und entdeckte gemeinsam mit den Teilnehmern die CISOs Scribble Box.

Zunächst hatten die Teilnehmer die Gelegenheit zwei Beispiele für erfolgreiche Sensibilisierungskampagnen kennenzulernen. Dr. Käthe Friedrich stellte die an der Bundesakademie für öffentliche Verwaltung (BaköV) entwickelten Moderationskarten “Sicher gewinnt” vor. Speziell an die Bedürfnisse der Bundesverwaltung angepassten Karten können als Impulse eingesetzt werden, um den Gesprächseinstieg zu erleichtern.

Ein ähnlicher Ansatz wird auch bei T-Systems erfolgt. Dr. Christoph Schog präsentierte die “my security&privacy”-Box. Ziel sei es nicht, eine einmalige Schulung durchzuführen sondern durch den regelmäßigen Einsatz der Box eine Sicherheitskultur im Unternehmen zu etablieren. Dr. Schog berichtete dabei auch über die Herausforderungen bei der Einführung der in 9 Sprachen verfügbaren Box in dem weltweit agierenden Konzern.

Die anschließende Pause wurde von den Teilnehmern rege genutzt, um über diese beiden Ansätze zu diskutieren und sich bei Kaffee und Kuchen für die Workshops zu stärken.

In parallelen Workshops hatten die Teilnehmer dann Gelegenheit vier Methoden genauer kennenzulernen und auch selbst auszuprobieren.

Die beiden bereits aus den vorangegangen Vorträgen bekannten Kartensysteme “Talking Security” und “Sicher gewinnt” wurden von Michael Helisch, HECOM Security Awareness Consulting und Dietmar Pokoyski, known_sense präsentiert.

Noch aktiver wurde es bei der von Ivona Matas vorgestellten systematischen Aufstellung. Mit Hilfe von Playmobil-Figuren können so die verschiedenen Akteure im Sicherheitsprozess spielerisch identifiziert werden.

Selbst kreativ werden durften die Teilnehmer bei Ankha Haucke. Bei dieser Methode werden Collagen zur Visualisierung der Arbeitsumgebung verwendet und dienen damit als Gesprächseinstieg.

Nach einem abschließenden Austausch konnten die Teilnehmer ausgerüstet mit neuen Methoden und Ideen ihren Heimweg antreten.

Für alle, die nicht teilnehmen konnten, stehen die Präsentationen hier im Beitrag und im Dokumentenbereich zur Verfügung. Weitere Impressionen des Tages gibt in unserem Flickr-Album.

Im Rahmen des 3. Tages der Informations- und Kommunikationswirtschaft NRW am 18.11.2011 in Bonn wurde das Projekt “Kooperationsstruktur IT-Sicherheit” vorgestellt. Zusammen mit dem networker NRW e.V und dem Horst Götz Institut für IT-Sicherheit (HGI) wird eco in den kommenden drei Jahren vielfältige Maßnahmen im Bereich IT-Sicherheit in NRW anstoßen.

“IT-Sicherheit ist eines der bedeutendsten Themen der heutigen Online-Welt”, so Harald A. Summa, Geschäftsführer von eco. “Im Rahmen des Projekts werden wir zusammen mit unseren Partnern die Vernetzung der ITS-Branche in NRW weiter vorantreiben und begrüßen die Entscheidung des Landes Nordrhein-Westfalen außerordentlich.” Rechtzeitig zum IuK-Tag wurde der vorzeitige Maßnahmenbeginn durch das Land genehmigt. Hubert Martens, Geschäftsführer der networker NRW, ergänzt: “Wir können künftig unsere Aktivitäten forcieren, stärker platzieren sowie Kooperationen von Unternehmen und wissenschaftlichen Einrichtungen weiter umbauen.”

Auch Professor Dr. Christof Paar, geschäftsführender Direktor des HGI, freut sich über die Zusage des nordrhein-westfälischen Wirtschaftsministeriums. “Durch die ständig neue Sicherheitsbedrohung – man denke nur an den Stuxnet-Virus oder die Angriffe auf die Sony Playstation – ist ein enger Schulterschluss zwischen Forschungseinrichtungen und der Industrie ein logischer und wichtiger Schritt. Das Land NRW belegt jetzt schon einen der europäischen Spitzenplätze in IT-Sicherheit, der durch den Cluster weiter ausgebaut wird.”

Anlässlich des Starts des IT-Sicherheitsclusters NRW besuchte Dr. Günther Horzetzky, Staatssekretär im Ministerium für Wirtschaft, Energie, Bauen, Wohnen und Verkehr des Landes Nordrhein-Westfalen die Projektpartner an ihrem Stand.

Markus Schaffrin (Fachbereichsleiter E-Business eco e.V.), Cornelia Schildt (Projektmanagerin IT-Sicherheit eco e.V.), Dr. Günther Horzetzky (Staatssekretär Ministerium für Wirtschaft, Energie, Bauen, Wohnen und Verkehr des Landes Nordrhein-Westfalen), Anja Nuß (Wissenschaftliche Koordinatorin HGI), Prof. Dr. Christof Paar (Geschäftsführender Direktor HGI), Hubert Martens (Geschäftsführer networker NRW e.V.) (v.l.n.r.)

Awareness und Sicherheitskultur sind stark strapazierte Begriffe. Selbst unter Securityprofis herrschen unterschiedlichen Auffassungen hinsichtlich Bedeutung und Umsetzung erfolgsversprechender und nachhaltiger Maßnahmen vor. Denn wer in seinen Sensibilisierungsmaßnahmen über den rein kognitiven Bildungs-Tellerrand hinausblickt, sieht sich bald mit spezifischem Wissen an der Schnittstelle zwischen Marketing und Psychologie konfrontiert. Hier arbeiten Experten seit vielen Jahren mit so genannten systemischen Tools, um Interventionen und Verbesserungsprozesse in Unternehmen einzuleiten. Systemisches Know-how und Tools sind aber auch im Bereich von Sicherheit und Datenschutz nutzbar. Dies belegen u.a. Kampagnenbeispiele verschiedener Behörden und bspw. von T-Systems.

Wie bringe ich Sicherheit ins Gespräch?
Wie hilft mir Sicherheitskultur bezüglich eines Imagegewinns?
Und was ist bei der Planung von Awareness-Kampagnen zu beachten?

Erfahrene Psychologen und Kommunikationsexperten zeigen Ihnen innerhalb von Kleingruppen Know-how und Tools, die Sie persönlich und praxisnah ausprobieren können, um sich ein Bild vom Nutzen psychologischen Know-hows zu machen. Zusätzlich gibt es eine Einstimmung über zwei wirksame Success Stories und mit zahlreichen Impulsen und Materialen, die Sie mit nach Hause nehmen können.

Die Veranstaltung wendet sich nicht nur an CISOs und andere Sicherheitsprotagonisten; aufgrund der Überschneidungen von Awareness-Maßnahmen mit anderen Interessen bzw. Bereichen in Unternehmen sind ebenso Mitarbeiter aus der Unternehmenskommunikation, aus den Bereichen HR bzw. Personalwesen, Helpdesk, IT oder BR wie auch weitere Player im Kontext von Mitarbeiter-Sensibilisierung und der internen Kommunikationskampagnen – auch Geschäftsführer von KMU – herzlich eingeladen.

Zusammen mit networker nrw präsentiert eco am Nachmittag die Themenlounge IT-Security.

Ab 16:00 erwartet Sie neben einem spannender Kurzvortrag von Symantec eine Podiumsdiskussion mit hochkarätigen Vertretern aus Wirtschaft, Forschung und Verwaltung.
IT-Trends wie Social Media, Cloud Computing und die Nutzung mobiler Endgeräte stehen dabei im Vordergrund. Wo liegen Chancen und Potenziale der flexiblen Daten- und Kommunikationsträger? Mit welchen Lösungen und Konzepten können die Risiken eingegrenzt und bewältigt werden?

Kurzvortrag:

• Candid Wüest, Symantec, Zürich

Impuls:

• Dr. Markus Schmall, Deutsche Telekom AG, Bonn

Auf dem Podium und mit dem Publikum diskutieren:

• Bernd Becker, EuroCloud Deutschland_eco e.V., Köln
• Dr. Kurt Brand, Pallas GmbH, Brühl
• Isabel Münch, Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn
• Prof. Dr. Christof Paar, Horst Görtz Institut (HGI), Bochum
• Dr. Markus Schmall, Deutsche Telekom AG, Bonn
• RA Jan Schneider, SKW Schwarz, Düsseldorf
• Candid Wüest, Symantec, Zürich

Anmeldung:

Mitglieder des eco e.V. bezahlen für Ihre Teilnahme am 3. IuK-Tag nur 20,00 € (statt 50,00 €).

Senden Sie uns dazu eine Mail an events@eco.de mit nachfolgenden Angaben des Teilnehmers:
Anrede, Name, Vorname, Unternehmen, Straße, PLZ, Ort, Telefonnummer und Ihrer Angabe, an welcher Themenlounge Sie von 14:30 – 15:30 Uhr und von 16:00 – 17:00 Uhr teilnehmen.
Wir leiten dann Ihre Anmeldung direkt weiter. Vom Veranstalter werden Sie dann eine Rechnung, die gleichzeitig als Anmeldebestätigung gilt, über 20,00 € erhalten. Die Bearbeitung kann 2-3 Werktage in Anspruch nehmen.

Wir möchten Sie bitten, sich ein paar Minuten Zeit zu nehmen und an der Umfrage mitzuwirken. Es sind nur 9 Fragen und einige statistische Angaben, alles natürlich vollständig anonym.

Die Umfrage finden Sie unter:
http://www.eco-umfrage.de/internet-sicherheit

Herzlichen Dank für Ihre Unterstützung!

Mit den Internet Security Days haben wir eine Plattform für internationale Online-Security-Experten geschaffen. Firmen aus aller Welt sind herzlich eingeladen vom 13.-15. September im Phantasialand Brühl ihre neusten Lösungen vorzustellen, viele inspirierende Branchenkollegen zu treffen, Sichtweisen und Erfahrungen auszutauschen und Netzwerke auszubauen.

Wesentliche Elemente der Internet Security Days sind eine Messe, Vorträge und Networking-Events. Die Messe Security Fair bietet eine ideale Plattform für Online-Security-Firmen, um ihre neusten Produkte und Ideen zu präsentieren.

Der Arbeitskreis Sicherheit übernimmt die Planung und Moderation des Tracks “Information Security Management” am 14.09. ab 14:00 Uhr.

Uwe Schnepf von nacamar und Leiter AK IPTV gab anschließend einen Überblick über Security-Aspekte bei AV-Streaming. Insgesamt lasse sich feststellen, dass die Nachfrage nach sicheren Lösungen steige, allerdings sei ein vollständiger Schutz nicht möglich (Abfilmen, Treiber-Emulatoren). Die Regel sei daher: 95 Prozent Schutz anstreben und den Verlust mit den gesparten Aufwänden gegenüber der 100-Prozent-Lösung „verrechnen“. Adi Ahrnsberger von Verimatrix präsentierte die Anforderungen an ein modernes Conditional-Access-System. CA und vermehrt auch so genanntes „Watermarking“ werde eingesetzt, um den kostbaren Content zu schützen. Als nächsten Schritt für IPTV in Deutschland müssten laut Ehrnsberger die Plattformen auf den Prüfstand, um garantiert auf dem neuesten Stand zu bleiben.

Das ausführliche Protokoll steht kostenfrei zum Download bereit.