Warum IT-Security so schlecht läuft

Boohh du hast aber abgenommen. Stark 💪🏼 wenn es gewollt war.

benjaminp

4:07 "nicht, dass wir angreifbar sind für Hacker" klar, das sind wir sowieso schon lange, aber noch viel angreifbarer sind wir für Rechtsanwälte und sonstige Juristen oder solche, die es gerne wären, schon oft genug Abmahnanwälte genannt.

schachsommer

In meiner Erfahrung (Software-Entwicklerin und bin jetzt in Rente) wurde das Thema Compliance formal möglichst pragmatisch und minimalistisch abgehandelt. Du hast Termindruck und Compliance kommt zum Schluss. Das führt vielleicht auch dazu, dass manche sinnvollen Regeln nicht im Sinne von IT-Security bearbeitet werden.
Der überbordende Verwaltungsaufwand durch die Compliance-Regeln führt auch dazu, dass das Thema nicht wirklich ernst genommen wird. Teilweise findet man als Software-Entwickler die Regelungen auch nicht sinnvoll, teilweise versteht man auch nicht was wirklich gewollt ist.
Also macht man das so, dass es abgenickt wird; also Checkliste abhaken.
Bei den Prüfern hatte ich manchmal den Eindruck, dass nur das Datum geprüft wird und ob im Negativfall ein Kommentar vorhanden war.
Erinnert mich auch an meine Zeit vor über 40 Jahren in der Verwaltung: da hieß es prüfungsfähige Akten produzieren!!!

GenovevaFröschlein

Kompliziertes Thema, ich verstehe was du meinst. Was du am Schluss sagst ist genau das Richtige, mit Kopf arbeiten. Aber das ist das schwierige, dafür müssen wirklich die Ziele verstanden werden. Der meiste Overhead an der Compliance ist die Doku. Die bringt erstmal nicht viel im operativen Bereich, kostet aber wahnsinnig Zeit. Aber einen positiven Effekt hat die Doku, man ist gezwungen sich Gedanken zu machen. Die grundsätzlichen Anforderungen (Sperarierung Kundendaten / Firmendaten, Logging, ggf. 2FA, Passwortsicherheit, ggf. Pentests, Schulungen, ...) sind schon gut und eigentlich die Basics worauf ein tiefergreifendes Security Konzept aufbauen kann.
Ich denke der Schlüssel ist es den Firmen das Grundkonzept nahe zu bringen und am Anfang effiziente und intelligente Umsetzungswege aufzuzeigen.

ifrozenphoenix-real

Es ist kein Entweder, oder. Compliance und die operative Umsetzung gehen idealerweise Hand in Hand, insbesondere bei IT-spezifischeren regulatorischen Anforderungen. Nist csf, BSI Grundschutz, Dora und weitere bieten wichtige Vorgaben hinsichtlich diverser IT-Sec Maßnahmen und Kontrollen . Pentesting bzw red teaming gehört zusätzlich dazu. Hybrider Ansatz ist der richtige Weg. Das was du beschreibst was falsch läuft (Checklist Mentalität etc) ist eher die Variante, wie man es nicht machen sollte. Compliance ist auch nicht Compliance. Die DSGVO ist da kein gutes Beispiel, da sehr auf den Schutz von PII bezogen und kaum technisch/architekturell getrieben.

aydink

Für mich ist der finanzielle Anreiz für die ganzen Compliance Buden das größte Problem. Den Firmen geht es ja nie darum deine Sicherheit zu verbessern, sondern dir mit möglichst wenig Aufwand, ein Zertifikat zu verkaufen. Als Kunde wählst du dann natürlich auch den günstigsten Anbieter, kriegst ja überall dasselbe Zertifikat. Also wird der Kram soweit automatisiert und auf das absolute Minimum reduziert, damit der Profit am Ende stimmt.
Die Entscheidung der beiden Seiten ist nachvollziehbar, das Endergebnis leider ziemlich nutzlos.

mutombomania

du sprichst mir aus der seele. ich muss bei uns grade die iso27001 umsetzen weil unsere kunden die verlangen und es ist einfach nur ein papier krieg ohne jegliche zusätzliche sicherheit.

oliverkramer

Wie findet man denn raus, ob man in einem Leak drinne ist?
Einfach mit "Have i been pwned" oder gibt's da nen besseres Tool?

tobixnator

Nur mal so, was bei der ganze Sache schiefgehen könnte: Nämlich wenn das Unternehmen der Ansicht ist, dass der Feind von innen kommt und alle Maßnahmen mit einem Mistrauen gegenüber den eigenen Angestellten rechtfertigt. Wenn einem als langjähriger Mitarbeiter unterstellt (bzw. diese Möglichkeit bedenkt) wird, dass man sich womöglich eine Hintertür in eine geschäftskritische Anwendung eingebaut hat. Das ist kränkend und dadurch demotivierend. Dieser Rant musste auch raus.

kaiwrede

Ich versteh zwar die Kritik, aber sind wir doch mal ehrlich - ohne gesetzlichen Druck würden viele Firmen sich überhaupt nicht mit solchen Themen befassen. Für mich das Hauptproblem : in fast allen kleineren und mittleren Unternehmen wird die IT-Security nur so nebenbei abgehandelt. Von Administratoren, die in ihrem Tagesgeschäft vor Arbeit eh schon ertrinken und oft im Bereich Security nur wenig Know-How haben. Daran ändern auch die diversen Complianceanforderungen erst mal nichts. Sie geben dem Thema aber auf jeden Fall schon mal eine höhere Priorität.

EinzigfreierName

Bürokratie ist gefährlicher als jeder Hacker

hannes

was ist eingentlich mir der Compliance von Microsoft? Als beispiel dem Vorfall vom letzten Jehr (Sicherheits Certifikate der Cloud Infrastruktur wurden geklaut)

ergius

Ich sehe das Thema eigentlich schon so wie am Ende des Videos. Ja, Compliance ist ein Zwang von den Behörden, aber sie versucht auch eine gewisse Grundordnung in die Strukturen der Unternehmen zu bringen. Hat man also eine gut laufende, sichere und strukturierte IT, dann treffen einen Compliance-Forderungen entweder gar nicht (weil schon umgesetzt) oder treffen einen weniger hart, weil der Grundgedanke der Forderung in der Firma längst umgesetzt ist. Muss man also jedes mal seine Firma komplett auf links drehen wenn eine neue Compliance-Forderung kommt, dann sollte man sich eher einmal Gedanken machen, was generell bei der IT im Unternehmen falsch läuft.

zerocool

aber ich glaube du hast das nicht so ganz verstanden, weil grc in erster linie gar nicht wirklich was mit it-security zutun hat. wenn man jetzt seine it-security anhand der gesetze auslegt. dann macht man def. etwas falsch. sachen wie zero trust haben mit compliance einfach nix zutun.

DommageCollateral

Also das Argument bei der Compliance zu sparen und dafür mehr Geld für IT-Security verfügbar zu haben ist wie beim Auto auf den jährlichen TÜV zu verzichten um mehr für Ersatzteile auszugeben zu können. Oder auf den Zahnarzt zu verzichten um sich mehr Essen leisten zu können.
Gut implementierte Compliance ist die Voraussetzung für planbare Security. Aber das scheitert oft am mittleren Management, deshalb der schlechte Ruf!

guntherj.

Ich habe im Bereich Gesundheitswesen Software gearbeitet, kaum warst du mit Irgendetwas fertig kam die zuständige Person und sagte uns wir dürfen das Projekt nicht ausrollen, es hat neue vorgaben zum Datenschutz e.t.c gegeben und es müssen erstmal 10 Tausend Seiten mit neuen Regelungen abgearbeitet werden. Und dann durftest du dich durch den ganzen Code wühlen und jede noch so bescheuerte Vorgabe zu erfüllen. Also da kann ich bestätigen, Sicherheit war zweitrangig, weil es unmöglich war, da richtig Zeit reinzuinvestieren.

sever

Ich glaube du musst mal nen Video ala "Abnehmen für ITler" machen.
Schaut gut aus, Glückwunsch!

letitburn

Unsere Firma zieht die ganzen europäischen Richtlinien durch. CVE´s werden täglich bewertet und je nach Kritikalität noch am Tag des Erscheinens gepatcht. Und jedes Jahr wird das neu geprüft und neu zertifiziert. Weiter ins Detail kann ich natürlich nicht gehen.

Diesen Umfang an Richtlinien, diese Bürokratie kann keine kleine Firma leisten. Keine kleine Firma kann sich einen, oder mehrere CISO´s leisten, und dazu noch die Mitarbeiter mit der technischen Umsetzung zeitlich binden.

tl

Kurze Frage: Ist das Video nur bei mir A-Synchron was Lippen und Text angeht oder auch bei wem anders?

Ist keine Kritik, ist nur ein nett gemeinter Hinweis, sollte es nicht nur bei mir so sein. :-) (Bin erst bei 05:10)

knuffiknuff

FYI: Typo bei 13:25 Vordergrund nicht "Fordergrund"

bltzbrg