Security by design in „massive interconnected“ Systems – BIM – SmartCity – IoT – eHealth

Die Industrie 4.0 und die entsprechende Digitalisierung der Planungs- und Bau-Prozesse mittels BIM fordert integrierte und robuste Prozesse als Rückgrat der “massive interconnected”, integrierten Schnittstellen und Collaboration.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen / sicherem Coding mit dem Fokus auf maximales, auditierbares «Security by design» / „Stand der Technik“ mit dem Ziel der bestmöglichen Angriffs- und Betriebs-Sicherheit bei maximalen Datenschutz- / Privacy-Aspekten unterstützt werden.

Ein solches denkbares «Security minded» Modell mit möglichst der Anwendung eines umfassenden „full stack security“ auf allen Ebenen dient auch als Sensibilisierung / Mindset zur maximalen Sicherheits-Orientierung und Auditierbarkeit in Systemarchitekturen mit allen Akteuren. Entsprechende Akteure Mensch – Prozesse – Technologie sind gemäss deren Stärken und Schwächen zu befähigen und passend einzusetzen.

Der «Plattform Kapitalismus» und die «massive Interkonnektion» im Rahmen der Digitalisierung und „verteilte Systeme“ wie auch z.B. BIM, CAx, Gebäudetechnik / Gebäudeleitsystem GLS, SmartCity, SmartHome, IoT, Big Data, eHealth ePDG Stammgemeinschaften, Künstliche Intelligenz AI, «Cyberphysical Systems» und „personenbezogenen Daten“ hinterlassen grundlegende technische und prozessuale Konzept- und Security-Fragen. Erschwerend kommt dazu, dass dann diese „verteilten Systeme“ zusätzlich aus regulatorischen oder normativen Compliance-Anforderungen auch noch gar möglichst lückenlos «managed» und «auditiert» werden müssen.

Nächste (R)Evolutions-Stufen der „Industrie 4.0“ / „Digitalisierung“ in Bereichen wie „Künstliche Intelligenz KI / AI“ werden grosse und neuartige Chancen zur „business model maturity“ und „data monetization“ generieren aber auch Risiken und Abhängigkeiten von „verteilten, massive interconnected Systemen“ zur Folge haben.

Jede Medaille hat bekanntlich immer 2 Seiten. Eine solche sogenannte „Dual-Use-Technologie“ wird automatisch auch leider wiederum die „dunkle Seite der Macht“ weiterentwickeln in Richtung von „Malicious Use of Artificial Intelligence“ (die bösartige Nutzung von AI) und daraus werden ernsthafte Risiken und grosse interdisziplinäre Herausforderungen für alle Akteure erwachsen bei der „falschen“ Verwendung neuer mächtigen Technologien.

Dass dann hierbei entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit der gleichgelagerten Technologie (z.B. „cognitive Security“ , „predictive Security“)  zum Zuge kommen müssen liegt nahe. Hierbei wird auch im Rahmen der geforderten Interdisziplinarität eine „neue“ hilfreiche Transparenz über Sicherheits-Lücken / -Massnahmen und „best practices“ vonnöten sein zwischen den Technologie-Giganten, Staaten bzw. zwischen allen Akteuren.

Auch Grundsätze zur „Informations Ethik“ werden hier hilfreich sein in einer nötigen gesamtheitlichen Betrachtung und entsprechenden Massnahmen zur Förderung oder Erhaltung der „privacy by design“ bzw. zum Schutz von „personenbezogenen Daten“ der Daten-Subjekte.

Unterschiedliches Verständnis und Verwendung von entsprechenden Begrifflichkeiten (nur schon Security, Privacy, Plattform, Cloud, Open) verunsichern viele Akteure und bedürfen einer gemeinsamen Verständnisfindung und nachhaltige Sensibilisierung.

Neue und noch teilweise in Vernehmlassung stehende Regulationen > Gesetze aus Bundesbern zu Datenschutz-Aspekten (z.B. DSG, e-ID) sind noch nicht spruchreif und die möglichst europäisch / international orientierte Umsetzung (z.B. EU-DSGV0 / GDPR mit auch Privacy by design / Privacy by default / security by design, ePrivacy, eIDAS elektronische Signatur, ePDG) bzw. offene Formulierungen in Richtung „Stand der Technik“ noch verbesserungsfähig.

Ein reiner «Schweizer Datenschutz oder Schweizer Standard» in der Regulierung / Standardisierung / Normierung ist aktiv zu verhindern (bzw. mittels Orientierung an „Stand der Technik“ und europäische Standards und Regulationen zu optimieren), verbannt die Zukunft ins Ausland und es gehen adaptierbare Innovationen und Entwicklungen (auch Aufträge) im Ausland verloren ansonsten. Dass es letztlich hierbei auch um das marktrelevante Thema der Innovationskraft und des Business Maturitäts-Levels geht liegt auf der Hand.

Im Rahmen der «Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken NCS» und auch Nachfolge-Strategie NCS 2 werden ebenfalls adaptierbare Resultate und „best practices“ von den kritischen Infrastrukturen wie z.B. Kraftwerke, Stromversorgung, Flugverkehr, Verkehr, Militär, Spitäler zu erwarten sein welche wiederum auch den möglichst offen formulierte „Stand der Technik“ mitprägen.

Entsprechend möglichst offen formulierte «Open Systems / Standards» verlangen nach möglichst offener (cross-connect, transparency) aber zugleich möglichst sicherer Collaboration der Akteure (Mensch und Prozesse) mittels „verteilten Systemen“ und basierend auf „Stand der Technik“ als Widerspruch von möglichst isolierten, geschlossenen Systemen bei möglichst maximalen Sicherheits-Stufen.

Das Herz / Core-System gilt es zu intelligent orchestriert zu schützen

Das immer schneller pochende und geforderte „Herz des Core-Systems“ ist die Verfügbarkeit durch optimierte Angriffs- und Betriebs-Sicherheit der „massiven Interkonnektion der verteilten Systeme“.
Zunehmend sind geforderte Verfügbarkeiten und adäquate Ausfallszenarien abhängig von solchen „intelligent orchestrierten (Teil)Systemen“.
Damit alle einzelnen Kettenglieder der Wertschöpfungskette die forderten Dienste und Verfügbarkeit liefern können bedarf es unteranderem auch die Betrachtung der einzelnen „Akteure und Layers der Interkonnektion“.

OSI-Layer als eines von vielen Beispielen der nötigen Gesamtbetrachtung von der Collaboration von „verteilten Systemen“

Ein solches anerkanntes und hier im Kontext bewusst gewähltes, als einfach verständliches Modell ist das „OSI-Modell“. Das international seit über 30 Jahren bewährte OSI-Model ist ein Referenzmodell für Netzwerkprotokolle in der Betrachtung als Schichtenarchitektur der einzelnen Komponenten einer möglichst verlässlichen Kommunikation. Zweck des OSI-Modells ist, Kommunikation über unterschiedlichste technische, verteilte Systeme hinweg zu ermöglichen und die Weiterentwicklung zu begünstigen. Dazu definiert dieses Modell sieben aufeinander folgende Schichten (engl. layers) mit jeweils eng begrenzten Aufgaben zur auch Optimierung von Fehlersuchen und Spezialisierungen.

Im Rahmen der Gesamtbetrachtung der Verfügbarkeit und auch Angriffs- und Betriebs-Sicherheit eines verteilten Systems kommt auch mit dem Beispiel des OSI-Modells sehr klar und gut zum Vorschein, dass z.B. beginnend mit der Verkabelung / Übertragungsmedium (OSI-Layer 0 > 1) bis hoch zur Applikation (OSI-Layer 7) jede Ebene / jeder Akteur inkl. dem inoffiziellen OSI-Layer 8 (der Anwender / Mensch / künftig AI und „cyberphysical Systems“) eine relevante und vitale Rolle einnimmt in der Sicherheit und Verfügbarkeit von verteilten Systemen.

Es ist unschwer zu erkennen, dass viele Fach-Artikel, Produkte, Technologien und auch Hypes sich sehr fokussiert mit „nur“ den höheren OSI-Layern befassen, also mit z.B. der Anwendungsschicht (OSI-Layer 7) und dem Anwender selber (inoffizieller OSI-Layer 8).

Genau darum ist es wichtig, dass ebene sämtliche technische Komponenten, Schichten und prozessuale Methoden, Akteure (also eben als gewähltes Beispiel ALLE OSI-Layer 1 bis 8) bzw. alle Aspekte betrachtet werden.

Weitere Informationen und Checklisten
.

Speziell mit eben der gesamtheitlichen Sicht auf den «Plattform Kapitalismus» und der stetig erhöhten Anforderung an die Verfügbarkeit und Angriffs- und Betriebs-Sicherheit der «massiven Interkonnektion» müssen alle diese Akteuren auch in einer nachhaltigen Interdisziplinarität noch besser miteinander abgestimmt werden mit dem Fokus auf „Stand der Technik“.

Einige, bewusst einfache Beispiele (ohne Anspruch auf Vollständigkeit) zur Verständnisförderung:

  • Keine „massive Interkonnektion“ ohne verfügbare, verlässliche Stromversorgung im Haus / Gebäude / Quartier / Ort / Region / smartGrid / smartEnergy / Schwarm-Versorgung oder Staat.
  • mit Sensoren und IoT-Elemente durchwachsene CyberCity funktioniert nicht ohne Internet, Netzwerk, Strom oder gar benötigte redundant ausgelegte, ausfallgesicherte Netze oder neue Services und Technologien wie 5G.
  • DoS / DDoS Distributed Denial of Service Attacken mittels z.B. Botnetzen und auch beauftragt aus dem „Darknet“ können durch Überlasten oder auch Gegenmassnahmen wie temporär Sperren / Blockaden die Verfügbarkeit der vernetzten oder zentralisierten Systeme reduzieren.
  • Verfügbarkeitsverluste oder vitale Unterbrüche durch mindere Qualität von eingesetzten (Aktiv)Komponenten und Netzwerkkabeln.
  • Suboptiomal orchestriertes oder zu wenig zugunsten Angriffs- und Betriebs-Sicherheit optimiertes Common Data Environment (CDE) oder deren Schnittstellen / Microservices / Middleware / API
  • Bestandesaufnahme, Dokumentation, Lizenzen Verwaltung, Rechtedefinitionen, Daten- und Risiken-Klassifizierungen in einem nachvollziehbaren und beweisbaren Register für den ganzen «Data Life Cycle»
  • Aspekte und Massnahmen zu «system design by weakest user» z.B. auf Baustelle (?) oder ? à „user centric security“
  • Multilayer Security“-Gesamtsystem Ansatz zur Verständigung der möglichen prozessualen und technischen Ansatzpunkte und Notwendigkeiten einer gesamtheitlichen Sicherheits-Strategie. Über den Perimeter bis in den Kern zum „Mission Critical Asset“
  • Adäquate Backup- und Verschlüsselungs-Strategie je nach z.B. Daten-Klassifizierungen (z.B. Schutz von kritischen Daten gegen z.B. auch Verschlüsselungs-Trojaner oder lange nicht entdeckter „Malicous Code“), Aufbewahrung (10 Jahre), Archivierung und Datenschutzregulationen (z.B. Recht auf Löschung)
  • Geräte-, System- und Services-Monitoring mit auch „predicted“ Maintenance und „behaviour analysis“ als proaktives Früherkennungssystem und erste maschinenunterstützte Abwehrlinie.
  • Fokus und offene Formulierungen in ICT-Strategie und ICT-Planung in Richtung „Stand der Technik“, „security by design“, „security by default“, Daten- und Rechte-Minimierung
  • Fehlendes Business Recovery System & Business Contingency Planning
  • ICT-Risk Management, ICT-Risk-Versicherungswesen
  • Gesamtheitliche ICT-Strategie oder nur schon ICT-Planung, Führungsverantwortung (GL und VR) zu CyberSecurity.
  • KnowHow-Management, Personenabhängigkeiten und Stellvertretungen
  • Massnahmen gegen Anti-Shadow-IT (do NOT build new legacy systems)
  • Mitarbeiter Sensibilisierung und Training zur sicheren und effizienten Collaboration – Unkenntnis schafft Unsicherheit …
  • Personal Analytics mittels Assessment und Tests bei Rekrutierung / Anstellung oder Arbeit / Aufgaben / KnowHow in kritischen Projekten
  • Der Akteur Mensch kann (muss!) mittels dem Fakt(or) der möglichst Reduzierung der „human interaction“ und technischen und prozessualen Unterstützung des Automatisierungsgrads werden.

Entsprechend ist die nötige Sicherheits Strategy  BASS (Built Asset Security Strategy) die erste und wichtige Grundlage für eine der vielen Organisations Informations Anforderung OIR der ICT-Gesamtsicherheits-Architektur. Hier legt man die Basis wie die interne oder organisationsübergreifende Architektur adressierte Sicherheitsaspekte definiert und regelt. Diese soll möglichst offen formuliert sich an „Security by design“ und „Stand der Technik“ anlehnen und dadurch aufgefordert dynamisch bleiben in der fortwährenden Dynamik der Bedrohungslage in der CyberSecurity.

Unabhängig vom effektiv benötigtem Umfang und Anwendungstiefe je nach Projekt lohnt es sich in jedem Falle, diese Grundlagen zu definieren und eine umfassende Klassifizierung bezüglich z.B. Schutzniveau, Schutzklasse, Schadenspotential, personenbezogenen Daten umzusetzen und zu unterhalten. Je nach benötigten Überwachungsparameter können mittels adäquaten unterstützenden Automatismen oder Monitoring-Systemen oder Monitoring-Methoden wie z.B. SCADA (Supervisory Control and Data Acquisition) oder Cloud-Monitoring-Systemen das operative bzw. „on going“ Sicherheits-Level (Betriebs- und Angriffs-Sicherheit) integriert überwacht werden.

Mit einem weiteren Hilfsmittel und Methode wie z.B.  BASMP (Built Asset Security Management), der Sicherheits Bewertung AIR (asset of information requirements of security) kann man entsprechende Anwendungsgrade erkennen und anwenden.

Damit ein solches Gesamt-System funktioniert und wirklich gelebt werden kann ist mittels entsprechenden weiteren Massnahmen und KnowHow-Transfer auch die Sicherheit auf Stufe der  Anwender (EIR employer’s information requirements of security) speziell zu integrieren in einem wiederkehrenden, «security minded» Sensibilisierungs-Prozess.

Damit auch externe dritte Akteure die gemeinsame Verantwortung des definierten Gesamt-Sicherheitssystem mittragen können müssen diese möglichst früh sensiblisiert, involviert, befähigt und bei Bedarf sogar zertifiziert werden.

Letztlich kann nach der möglichst umfassenden Integration aller Akteure (inkl. auch Vertragsrelevanzen) und entsprechenden Datenschutzfolgenabschätzungen auch die Organisation und Prozesse definiert werden für ein Incident Response Management mit Vorgaben für z.B. Sicherheitsvorfälle, Meldepflichten, Definition des Data Protection Officers DPO, Krisenkommunikation.

Aufgrund der Komplexität des Security Themas in einer Gesamtsicht ist es unumgänglich, die Zuständigkeit und Verantwortung je nach Projekt und teilnehmenden Akteure neu zu definieren innerhalb der teilnehmenden Akteuren (mit teilweise schon Erfahrungen und adaptierbaren «best practices» hierbei) oder externen Dienstleistern.

Je nach Umfang des Projektes oder Vertrages kann es mitunter nötig sein, weitergehende Analysen und präventive Massnahmen evaluieren zu lassen durch weitere Fachbereichs-Spezialisten für z.B. juristische, vertrags-technische, finanz-technische, ICT-security-technische Aspekte um evaluierte, absehbar weitergehende vitale Risiken zu minimieren.

Die Projektanforderung (das Was) rund um die Sicherheit sind adressiert in der  Sicherheits Bewertung AIR (asset of information requirements of security) und unterscheiden sich bzw. müssen gemappt bzw. stufengerecht adaptiert werden auf die Stufe der  Anwender (das Wie > EIR employer’s information requirements of security).

Bei vielen Bereichen sind unterschiedliche oder nicht abschliessende Definitionen erkennbar bei welchen nicht alles eindeutig festgestellt ist für das «Was», «Wie» und «Wann» und sind deshalb genauer zu definieren, um darauf basierend, auch die adäquat zur Verfügung zu stehenden Services rund um ICT bzw. Security orchestrieren zu können je nach Projekt. Hierzu sollten Elemente und Orientierungspunkte entsprechende schutzklassen-gerechte Anwendung finden aus Normen, Frameworks, Methoden wie z.B. PAS1192-5, CPNI, CEN, ISO (z.B. 27xxx), BSI, BS, OSSTMM, IFC, ITIL, CobIT, NIST, NCSC und anderen internationalen Standards.

Ein höherer BIM-Maturity-Level bzw. „Business Model Maturity“ kann grundsätzlich nur ganzheitlich erarbeitet, erreicht und erhalten werden, wenn alle Elemente auf dem adäquat angepassten Level durchgängig prozessual und technologisch passen und funktionieren >> also auch eine entsprechend passende Maturität der Gesamtsicherheit (Security Maturity Level)

Weitere Artikel:

https://fridelonroad.wordpress.com/2017/11/19/cybersecurity-und-sicherheit-ist-eine-gemeinsam-geteilte-verantwortung-security-awareness-7/

https://fridelonroad.wordpress.com/2018/02/08/bim-startet-durch-es-stellt-sich-aber-die-frage-nach-der-sicherheit/

https://fridelonroad.wordpress.com/2018/03/06/shre-to-evolve-45-licht-in-die-jahrelang-dynamisch-gewachsene-schatten-informatik-shadow-it/

https://fridelonroad.wordpress.com/2018/02/08/100-sicher-ist-die-digitalisierung-ist-durchgestartet-und-etabliert-sich-aber-ist-diese-technologisch-99-sicher-genug/

https://fridelonroad.wordpress.com/2018/01/05/shre-to-evolve-44-ict-glossar-teil-2-sensibilisierung-und-verstaendnisfoerderung-in-digitalisierung/

https://fridelonroad.wordpress.com/2016/01/24/the-bim-bang-heiliger-bim-bam-das-streben-nach-business-excellence-transformiert-die-bauindustrie/

https://fridelonroad.wordpress.com/2014/10/09/99-sicherheit-mensch-prozesse-technologie-risk-management/

Advertisements

sh@re to evolve #45 – «Licht» in die jahrelang dynamisch gewachsene «Schatten-Informatik» (Shadow IT)

Erst wenn “Licht” in die jahrelang dynamisch gewachsene “Schatten-Informatik”  (Shadow IT) gelangt, kann die befreite Basis und nötige Transformation entstehen für neue Geschäftsmodelle

Beitrag Gewerbeverband ksgv.ch

ksgv.ch – Gewerbeverband – AntiShadowIT – Ausgabe März 2017 – Fridels_BLOG_F@R

 

Evolving from system management to services management with „best out of all clouds“

itsm-landing-pg_shutterstock_106100270

Erst wenn “Licht” in die jahrelang dynamisch gewachsene <Schatten-Informatik>  (Shadow IT) gelangt, kann die befreite Basis und nötige Transformation entstehen für neue Geschäftsmodelle.

Jahrzehntelang mussten mangels echter Alternativen die Business-Prozess-/Anforderungen abgebildet werden mit lokalen ICT-Support-Prozessen und auch bis dato funktionierenden und stets als robustes “Rückgrat” fungierenden “best practices” basierten System-Umgebungen.
Viele Hypes und Trends in Bereichen wie “bring your own devices (byod)”, “new economy”, “cloud computing” und der stetig (längs überfälligen…) aufholenden Industriealisierung und Automatisierung in der ICT veränderten auch die seitens Mitarbeiter und Führungsebene angewachsenen Bedürfnisse im “Fokus des Nutzens versus Technologie”

ICT in den Führungsgremien – Innovation und Marketing in der ICT
Als eine weitere “disruptive” Entwicklung im fortwährenden Kampf der Diversifizierung im Mitbewerber-Markt war die Umkehr der Kräfteverhältnisse. Früher war die Basis von neuen halbwegs durchgängigen und umsetzbaren Prozesse und Produktion mit-gelegt worden seitens der damals zur Verfügung stehenden ICT-Lösungen. Seit längerer Zeit müssen sich geradezu umgekehrt die ICT-Support-Prozesse richten an den Anforderungen des dynamischen Marktumfeldes (z.B. time to market) und adaptierbaren Innovationen. Diese Paradigmawechsel hatte (zum Glück…) auch die Folge, dass ICT-KnowHow gefragt war in der Führungsebene für auch Themen wie IT-Strategie, Compliance, Risk.

(R)Evolution auch im ICT-KnowHow
Dieses ICT-KnowHow in der Führungsebene hat sich mittlerweile innert kurzer Zeit (und auch angetrieben durch die massivst laufend (r)evolutionierten  Cloud Services) ebenfalls bereits wieder verändert vom ursprünglich gegebenen eher technischen ICT-KnowHow zum nun eher services- und nutzungs-orientierten Prozess-KnowHow.
Im Fokus stehen zunehmend die Nutzungs-Aspekte, Anwender – und letztlich die Kunden -und entsprechend änderten sich die gesuchten Qualitäten von reinen Spezialisten zu Generalisten mit auch “nicht-technischen”, aber prozessualen Kenntnissen.

Take back control and then evolve … – hervor unter dem Pult und dann offen für die Welt
Die vielen “unter den Pulten” gewachsenen und auch gelagerten (…) ICT-Systeme sind in vielen Fällen selbstverständlich erweiterbar und kombinierbar mit/als Hybrid-Cloud-Services. Mittlerweile sich stark veränderte Marktbedürfnisse, “time to market”-Aspekte und auch die oben beschriebenen Anforderungen der Führung / Firmeninhaber / Aktionären machen es nicht einfacher, die vielfach sonst schon “eher blockierten” Systeme in der verlangten Zeit und Qualität zu transformieren.
Die lückenlose Transparenz und letztlich volle Kontrolle zurückzugewinnen – bei auch besser bewertbarem Risiko-Management – ist entsprechend und verständlicherweise teilweise verbunden, mit der schrittweisen Transformation auf zukunftsorientierte, budgetierbare und skalierbare Hybrid Cloud Services.

Betriebssicherheit (Safety) und Angriffssicherheit (Security) durch/in der Cloud
Unter dem Aspekt von z.B. “Schatten-Informatik (shadowIT)”, Anforderungen von “new economy”, Abhängigkeit von Mitarbeiter / KnowHow-Träger und entsprechenden Qualitätsaspekten und sich stark veränderten Bedrohungslage sind auch in diesen Aspekten die Anforderungen an die entsprechenden Prozesse und Systeme im Sicherheitsbereich und im Risk-Management-System hochkomplex geworden.
Diese Herausforderungen welche auch zunehmend getrieben sind durch Revisions-Stellen, Audits, Complianceanforderungen (z.B. DSG, DSGVO / GDPR) – und der mittlerweilen zunehmend wahrgenommenen Verantwortung auf Führungsebene – zeigen ebenfalls zu einem neuen Trend. Der Trend zur Ausfall-Risiko-Optimierung und Gewaltentrennung (Unabhängigkeit von “internen” Maschinen und “internen” Menschen) durch Nutzung von externen, orchestrierbaren Services in Bereichen wie Security, Systemredundanzen, Disaster Recovery Services, standortgetrenntes Backup, Monitoring und Alarmierung und auch Servicedesk as a Service.

Neue Freiheitsgrade und Potentiale durch Fokus auf orchestrierbare Services gegenüber kopf-abhängiges System-Management
Passend orchestrierte Hybrid Cloud Services und völlig neue (bisher nur erschwert erreichbare) Managed Services und dosierte Öffnung zur “new economy” / neue Geschäftsmodelle ermöglichen auch neue Fokussierungs-Möglichkeiten. Dadurch entsteht auch die Chance und Herausforderung, effizient “Licht in die Schatten-Informatik” zu bringen. Die Verlässlichkeit, Standard und Sicherheit der Analogie zum “Strom aus der Steckdose” oder des “Wasser aus dem Wasserhahn” ergibt auch in der ICT die Möglichkeit, sich auf die Nutzung oder «Genuss des Stroms oder Wassers» zu konzentrieren (eine Art Services Management).
Diese Analogie sollte und wird auch entsprechend immer mehr Einzug halten in den ICT-Umgebungen und mit-helfen, neue Konzentrationen zu ermöglichen auf gelieferten Services von hoch-standardisierten / spezialisierten Anbieter. Dieser reinen Nutzung im Gegensatz zu reiner selbstproduzierter, mitunter aufwändiger Technik mit teilweisen Defiziten in der Verfügbarkeit bzw. Lieferbedingungen (Wasser aus dem selbstgegrabenen Wasserloch ? und Strom produziert vom eigenen Dynamo ?)
Dadurch können die Kernkompetenzen und die internen Prozesse weiter optimiert und die dosierte Weiterentwicklung zu neu adaptierbaren Geschäftsmodellen vorangetrieben werden. Dies auch mit der Befreiung und Entlastung der bisher teilweise “blockierten” KnowHow-Trägern oder “festgefahrenen” Systemen mit bisher beschränkten Skalierung.

“best out of all clouds” und «Stand der Technik»
Um sich als Konsument im Dschungel der unterschiedlichsten und nicht immer vergleichbaren Angeboten zurechtzufinden braucht es z.B. Vergleichstests, Angebotsportale, erfahrene Berater oder aber Gesamtanbieter (Solution Brokers, Managed Services Anbieter) mit entsprechenden weitergehend unterstützenden Branchenerfahrungen und Referenzen. Solche erfahrene und auch offizielle zertifizierte Gesamtanbieter – welche dann auch als Gesamtansprechpartner (single point of contact) sämtliche Herausforderungen abdecken, Probleme beheben und vorallem die besten Lösungen finden – haben sich über Jahre und aus eigenen Erfahrungen / entsprechendem Branchenwissen, die am besten orchestrierbaren und bestens bewährten Services aufgebaut. Da solche Gesamtanbieter teilweise dann auch über die entsprechenden zertifizierten Kompetenzen und spezielle Support-Verträge mit den Services-Lieferanten, haben profitiert der Kunde zusätzlich. Dieses “unbezahlbare” und aber für Kunden mittlerweile nutzbare Wissen, Skalierung und letztlich Vorteil gegenüber Mitbewerbern stellt den Anspruch sicher, dass die Endlösung wirklich basiert auf den maximalst bewährten, standardisierten und automatisierten “Managed Cloud Services” mit dynamischem Fokus auf «Stand der Technik». Durch genau solche auf “best out of all clouds” basierten Lösungen bleibt die Lösung standardisierbar, skalierbar, beherrschbar und letztlich auch unabhängig von den Anbietern. Aufgrund dieser zukunftsorientierten Nutzung entsteht eine nachhaltige Lösung mit fortwährenden Bestreben zum «Stand der Technik» und Einhalten von Compliance Anforderungen wie z.B. DSG, DSGVO / GDPR.

“Innovativ mit-denken, qualitativ handeln”
Dieser auf den ersten Blick einfach aussehende Idee, Anspruch und denkbare Anforderung für eine normale Weiterentwicklung von Prozessen oder Geschäftsideen funktionieren eben nur wenn man sich von möglichst vielen unterstützenden Themen (wie eben Wasser, Strom, Cloud…) entlasten und sich befreit, ungestört konzentrieren kann auf den «Reifegrad des eigenen Geschäftsmodells».

Change und Innovations Management inklusive
Viele solche Projekte gehen mitunter viel weiter und je nach Erfahrungen des gewählten Service Providers kann dieser den Kunden auch weitergehender beraten und begleiten. Weitergehend eben als nur die einmalige Planung, Migration und Betrieb der orchestrierten Cloud-Lösung sondern viel mehr auch im nötigen Change Management, Nutzungsoptimierung, Bewertung und Weiterentwicklung von adaptierbaren Innovationen oder Aufbau von neuen Basen für neue Geschäftsmodellen.

Zu guter letzt und wiederkehrend… Training, Befähigung und Weiterentwicklung
Bekanntlicherweise wird nur jeweils ein Bruchteil der effizienzsteigernden Features genutzt. Es ist lohnenswert durch eine fortwährende Nutzungsoptimierung, die enthaltenen, mit-lizenzierten Features mittels entsprechenden Lösungs-Demonstrationen und darauf aufbauenden Trainings und “best practices”-Workshops, diese Zusatz-Nutzen-Aspekte zugänglich zu machen. Die laufenden Services- / Features-Weiterentwicklungen können dann auch einfacher / kontinuierlich in der eigenen Weiterentwicklung / Effizienzsteigerung der Organisation nach-geschult und integriert werden.
Letztlich führen solche Werkzeuge / Möglichkeiten / Effizienzsteigerungen mitunter auch zur Optimierung und Unterstützung der Arbeitgeber-Attraktivität und Mitarbeiter-Motivation.

Data Loss Prevention DLP – vom erkanntem Daten-Leck zum dosierbaren Daten-Ventil

dlp3dlp

Als Grundlage – und bei weitergehendem Informations-Interesse als „nur“ dem Artikel-Haupt-Thema – für meine persönliche Philosophie zum schier unfassbar grossen Big Thema Security / Safety / Risk Management referenziere ich meinen publizierten Artikel bei ISACA Chapter Switzerland im SWISS IT MAGAZINE
>> 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf

Viele Produkte und Technologien rund um DLP – wo bleiben der Mensch und die Prozesse?
Sämtliche Bemühungen in technischer und prozessmässiger Hinsicht zur „beinahen“ Verhinderung oder eher „nur“ Behinderung von Daten-Lecks bzw. Entwendung oder Nutzen-Veränderung von firmen- oder personen-sensitiven Daten scheinen zunehmend reine eher reaktive Symptombekämpfungen anstelle proaktive integrierte Ursachenbekämpfungen zu sein. Hierbei steht einmal mehr der Mensch und die Prozesse im Vordergrund und im Fokus der Wirkung am Ziel.

Angriffs- und Betriebs-Sicherheits-Krieg auf höchstem Niveau – Mensch immerschwächer werdendes Glied in der Kette
Die sehr raffinierten Angriffs- und Verteidigungs-Methoden im Kontext von z.B. auch Zeitfaktoren / Multifaktor-Anmeldungen / Berechenbarkeit / Eintrittswahrscheinlichkeiten / Verschlüsselung scheinen mittlerweilen auf einem Höchst-Niveau abzulaufen – jenseits in dieser Betrachtung vom sicherheits-technisch immer schwächer werdenden Glied in der Kette – des Menschen selber.
Der grösste Schaden – es gibt genügend Beispiele seit längerer Zeit – basiert meist auf einer raffiniert aufgebauten und von langer Hand geplanter Angriffs-Strategie basierend auf  einer „Vertrauens-Bildung zwischen Angreifer und Opfer“.
Hierbei können folgende stichwortartig aufgelistete sehr einfache Fälle als Referenz dienen:
– Mail-Anhang mit bösartigem Code von einem (gefälschten) Bekannten öffnen
– Zugangs-Kennwort per Telefon, Webseite, Socialmedia, Email oder gar Zuruf bekanntgeben
– Kennwörter an beliebten Orten öffentlich zugänglich machen (Tastatur, Pult, Tasche etc.)
– Arbeitsplatz ungesperrt hinterlassen und den Zugang ermöglichen für Kollegen oder Externe
– „Unsicheres“ Daten austauschen per Webmail, Socialmedia, Smartphone, Wechseldatenträger
– Social Engineering – extern aber auch von intern …

Patt-Situation – Informations-Schutz versus Menschen-Schutz – was schützen und klassifizieren wir zuerst ?
Wo nun die Organisationen / Führungsebene beginnen sollten im Teil-Bereich von „Data Loss Prevention DLP“  ist demnach nicht einfach zu beantworten bevor man überhaupt weiss was „schützenswerte“ Informationen sind mittels einer zuerst nötigen Basis-Arbeit der Daten-Klassifikation.
Aufgrund dieser Klassifikation (auf die genaue Methode und Ansätze wird hier nicht eingegangen) entsteht dann ein klareres und überschaubareres Gesamt-Bild der schützenswerten Objekten und deren Einstufungen in z.B. Eintrittswahrscheinlichkeit, Risiken, Schadenspotential. Daraus sollten sich dann eine hoffentlich beherrschbarere Gesamtsicht entstehen mit z.B. Massnahmen, Compliance-Anforderungen, Auswirkungen auf Mitarbeiter Security Policy und Risk-Management / Audit.

Datenschutz und Persönlichkeits-Rechte – und trotzdem auch Schutz-Recht von Firmen-Eigentum ?
Zum Schutze und als Basis der (hoffentlich) gemeinsamen Interessen – auf der einen Seite des Mitarbeiters und dessen z.B. Persönlichkeits-Rechten und auf der anderen Seite der Firma und deren z.B. „intellectual property“ – sollte eine gemeinsame Vereinbarung in Form einer „ICT Security Policy / ICT Weisungen“ verabschiedet und als verbindlicher Bestandteil zum Arbeitsvertrag unterzeichnet werden.
Diese Spielregeln können letztlich kein Daten-Leck verhindern jedoch dient diese vorallem auch der Sensibilisierung und Aufklärung zu betriebs-vitalen oder gar betriebs-hoch-kritischen Gefahren, Regeln und Massnahmen.
Dabei ist auch die Balance zu finden zwischen den Rechten beider Partner (Arbeitnehmer und Arbeitnehmer oder auch Kunden und Service-Anbieter) unter Wahrung der Persönlichkeitsrechten und Balance zwischen Vertrauen und genau zu beschreibenden Kontroll- und Verteidigungs-Mechanismen (z.B. mehrstufig, anonymisiert, Trends, Baselines, Anomalien, Traffic-Controlling, Filterungen, Blockaden, Alerting).

Sensibilisierung via ICT Security Policy verschwindet nach der Unterzeichnung
ICT Security Policies als Bestandteil zum Arbeitsvertrag werden a) nur vor dem Start des Arbeitsverhältnisses unterzeichnet, b) geraten dann schnell in Vergessenheit, c) beinhalten vielfach keinen offenen ergänzbaren Bereich für die die hoch-dynamischen Bedrohungs-Lagen und d) sollten eine Arbeitspapier als Ausgangslage für weitergehende, wiederkehrende Schulungen und Sensibilisierungen. Hierbei reichen vielfach nur schon ausgewählte und auf die Firma adaptiert kommentierte, einfache Beispiele von Daten- und Sicherheits-Lecks von anderen betroffenen Organisationen und auch entsprechende juristisch strafrechtliche Auswirkungen.
Es sollte dadurch selbsterklärend sein, dass dann mitunter auch „naive“ Aussagen oder Ausreden im Sinne von „das war mir gar nicht bewusst oder das hat mir niemand so explizit gesagt“ nicht mehr einfach akzeptiert werden.

Lange Rede rund um… und nun: Am Schluss kommt „nur“ noch die Technologie
Und eine Wiederholung mehr: 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf
Zuerst umfassend sensibilisierte Mitarbeiter (Mensch) und klassifizierte schützenswerte Informationen (Maschinen, Prozesse) bilden dann die beherrschbare Basis für dann ein umfassend orchestrierte und bewusst vielschichtig aufgebaute Gesamtlösung.

Data Loss Prevention – best out of breed and out of best practices
Alleine die Aufzählung von verschiedenen Ansätzen, Methoden, Produkten würde jeglichen Rahmen sprengen dieses Impuls-Artikels. Ich beschränke mich hiermit auf die stichwortartige Aufzählungen von gewissen Ansätzen, Szenarien und einfach erklärten Ideen:
– Sehr hohe Priorität sollte dem „Schutz der digitalen Identität“ zugewandt werden – z.B. bei Kennwort-Richtlinien, Kennwort-Manager-Software, Multifactor-Anmeldung, One Time Token, Devices, Cloud-Dienste etc. damit hier nicht mittels einem „zentralen Einfalls-Tor alle anderen Zugänge und Angriffs-Schutz-Mechanismen“ ausgehebelt werden …
– Filterung, Ueberwachung und Sperren von WLAN-, Smartphone-, Internet- und Webbrowser-Zugänge und Berechtigungen für die proaktive Verhinderung von unerwünschten oder gefährlichen Webseiten- oder Internet-Aufrufen
– Software- und/oder Hardware-Verschlüsselung von z.B. Festplatten, Wechseldatenträger, Smartphones, Emails, Dokumenten (z.B. Bitlocker)
– Transportregeln auf Basis des Email-Systems welche per Voll-Text-Inhalts-Filterung gewisse geschützte und so klassifizierte Mails oder Anhänge sperrt / umleitet oder archiviert
– Automatische Disclaimer-Erzwingung oder PopUp-Fenster-Anzeige im Mail-Programm an den Anwender (proaktive Sensibilisierung) bei allen ausgehenden Emails oder bei klassifizierten Informationen
– Automatische Email- und Datenaustausch-Verschlüsselung (und auch z.B. Sender-Identitäts-Nachweis) ohne Einwirkung des Senders und Empfängers
– Verschlüsselungs-Punkte in der ganzen Kette der Kommunikation (User to Services, Daten zwischen Datencentern, Daten auf Datenträgern, End-to-End-Verschlüsselung von User zu User)
– Geschützte Output-Umgebungen mit Druck / Scan per Kennwort, Keycard, Token
– Compliance-Einschränkungen von z.B. Smartphone für Kamera, Bluetooth, NFC, WLAN, Cloud, Apps, Socialmedia, Speicher-Einschränkungen, Kennwort- und Geräte-Sperr-Vorgaben und Remote Löschungen
– Device Management Lösungen oder Software-Agents auf Clients für z.B. Sperre von Printscreens, Copy Paste Sperre je nach Anwendung, Software-Compliance-Kontrollen, AppLocker
– Zentral verwaltete, proaktive Endpoint Protection Lösungen welche zusammen mit neuartigen Internet-Firewalls auch Anomalien aufspüren oder Base-Line-Vergleiche sicherstellen kann (Stichwort: Trojaner, RootKits, Viren, Würmer, Schläfer, Kennwort-Logger, Spionage-Tools, Datenströme
– Baseline-Compliance-Vergleiche von zugelassenen und unerwünschten / nachträglich installierten Tools / Malware / Apps mit entsprechender Alarmierung
– Fingerprinting, Watermarking, Metadaten-Kennzeichnung, Keywords für das Filtern und Aufspüren von Informations-(Ab)flüssen oder Missbrauch
– Erweiterte Right Management Services (RMS) oder Digital / Information Right Services (DRM, IRS) welche eine sehr hohe, erweiterte Granularität von z.B. Dokumenten-Rechte / Schutz beim Empfänger steuern kann (z.B. Regelung von Autorisierung / Weitergabe / Druck / Speicherung / Protokollierung / Gültigkeitsdauer)

– Je nach Informations-Klassifizierung und Risk-Management gar erweiterte Massnahmen mittels einem „Intellectual Property Management“ System zum erweitertem Schutz von firmenvitalen Geisteseigentum.

– Letztlich: strategisch bewusstes Auslagern / Archivieren oder Sichern / Spiegeln von (Teil)Daten / Zusatz-Backups oder ganzen Systemen auf viel leistungsfähigere und ausfallsicherer orchestrierbare Public Cloud Dienste für die Reduktion von internen (grösseren…) Gefahren in einem lokalen Betrieb und lokalem physischen Datenzugang (Analogie: Die Suche nach der berüchtigten Nadel – aus Sicht eines Angreifers – in einem BigData-Heuhaufen und in einem reissenden Daten-Strom kann schwieriger sein als Firmendaten gezielt an einer Firmen- oder System-Lokation angreifen versuchen …) –> Enhanced Cybersecurity with Big Data …

Vom erkanntem Daten-Leck zum dosierbaren Daten-Ventil ?? und es tropft weiter …
Mittels einigen genannten Beispielen aber vorallem mittels einer eigens aufgebauten und an die zu schützenden Organisation angepasstes Szenarien- / Frage-Framework sollten rasch die klassifizierten und priorisierten, schützenswerten Informationen und deren Schwachstellen (Lecks, Leaks) erkannt werden können für entsprechende stufenweise eingeführten Gegenmassnahmen für die möglichst grosse Reduktion von Informations-Missbräuchen / Abfluss (Loss).

Data Loss Prevention im Spannungsfeld zu Data Leak Management bzw. „offener“ Informations-Verbreitung / -Nutzungsänderung in der künftigen New Economy
Auch hier wird am Schluss eine Teilmenge von Risiken übrigbleiben welche im Risk-Mangement bewertet / überwacht und kontrolliert werden muss. Denn das Daten-Ventil tropft immer irgendwo weiter und weiter …
In einem teilweise (un)beherrschbarem Wachstum und derer Weiterentwicklung von z.B. Big Data, Internet of things (IoT) und Daten-Universum werden sich auch Business Modelle ändern (müssen) für einen offeneren – dann aber geregeltem und in einen mehrwert-generierenden – Informations-Austausch.
Bisher schützenswerte, klassifizierte Informationen / Datenbanken / Produkte / Schnittstellen / Standards / Normierungen / Apps / geistiges Eigentum finden – basierend auf einem neuen (r)evolutionierten Business-Modell – neue und mehrwert-generierende Services-Nutzungs-Kanäle für den Anbieter / Nutzer.

ISACA 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management

cloud-big-data-mega-stream-security

>> Publizierter Artikel im Swiss IT Magazine / Swiss IT Reseller von ISACA ITM2014_09_ISACA_03

Der Titel dieses Artikels will aussagen, dass es die 100% Sicherheit nicht gibt – der Rest ist reines Risk-Management und nicht Technologie
Diverse Ansätze / Empfehlungen / Methoden / Compliance Anforderungen / Regulatoren / Zertifizierungen wie z.B. Business Recovery System (BRS), Disaster Recovery Tests, Contingency Plan, CISA, CISM, ISO 22301/BCMS, IKS oder Prozesse nach CobIT, ITIL, ISACA, ISO, IEC27001 ISMS, IEC17799, SOX, IT GSHB, DSG, VDSG können schon sehr viel an generischen Risiken und entsprechenden Gegenmassnahmen abdecken.
Jedoch sind diese eben “nur generisch” und müssen massgeschneidert an die effektive Firmen-ICT-Prozesslandschaft angewandt und an die ICT-Teilziele (z.B. mittels ICT-Governance) der Firmen-Gesamt-Strategie angelehnt werden.
Es bleiben immer Rest-Risiken übrig welche im Risk-Management abgebildet und verwaltet werden müssen – und dies auf Ebene der Führung oder Verwaltungsrat.
Innerhalb des Risk-Management-System / ICT-Governance geht es um einen laufenden Loop von “Erkennung”, “Bewertung und Klassifizierung”, “Managen” und “Ueberwachung und Kommunikation”
Ich neige bei vielen Controlling-Systemen und Audits zu sagen: “Es ist vieles abdeckbar mit den Akteuren Menschen, Prozessen, ICT-Technologien und vorallem Baseline / Tests / Monitoring. Die anderen Rest-Risiken gehören ins Risk-Management und haben nicht mehr ausschliesslich etwas mit ICT-Technologie zu tun. Sicherheit ist keine reine Technologie-Frage sondern eine Kombination von wiederkehrenden Prozessen in einem Gesamt-ICT-Audit-System”

DatenSCHUTZ in der DatenFLUT ?
Ein kleines Rinnsal und dessen bescheidener Wasserfluss mit Sicht auf den Grund zu überwachen, ist einfacher als ein grosser Fluss mit einem reissenden und mitunter auch wellenden und zunehmend jährlich anwachsenden Wasserstrom ohne Sicht auf den Grund …
Diese einfache Analogie zeigt das zunehmende Problem auf, in diesem Datenschutz- und Sicherheits-Bereich im Zeitalter der hochdynamischen Entwicklung in Bereichen wie z.B. Cloud, Big Data, Internet der Dinge und letztlich der fortschreitenden digitalen Transformationsprozessen.

Die digitale Transformation und Wandlungsdruck der Informationsgesellschaft hat interdisziplinäre Auswirkungen – auch im Sicherheits-Bereich
Die heutigen und vorallem die künftige Bedürfnisse und dessen Auswirkungen der Informationsgesellschaft betrifft mittlerweilen globale Prozesse, Technologien und lassen sich nicht mehr isoliert betrachten und abdecken. Es braucht zunehmend interdisziplinäre Zusammenarbeiten von Akteuren von z.B. Gesellschaft, Politik, Technologie, Wissenschaft, Ausbildung (z.B. nur schon Sensibilisierung zu Sicherheitsthemen) und auch Spezialthemen wie auch Psychologie oder Management-Ansätze damit dieses entstehende Next Generation Informationsuniversum an Mensch und Maschine mehr Nutzen als Schaden mit sich bringt und so gut es (hoffentlich noch) geht auch beherrschbar bleibt – auch eben in datenschutz- und sicherheits-technischen Aspekten  und auch Auswirkungen auf die jeweilige ICT-Firmenstrategie und Firmen-Compliance- und Governance-Anforderungen.
Der entsprechende „Wandlungsdruck der Informatik“ – nennen wir es mal „Transformation“ – in ein neues Informatik-Zeitalter mit jeweilig an die Firmenstrategie orientierte ICT-Strategie hält schon länger an. Auch hier ist die Führungsebene in der unveränderten Pflicht, den Informatik-Bereich in dieser Transformation zu unterstützen oder deren Entscheide zu prägen / steuern oder auch kritisch zu hinterfragen. ICT (und auch die ICT-Sicherheit) wird vielfach leider immer noch als reine Kostenstelle und leider nicht als strategischer, innovations-treibender Vorteil gegenüber Mitbewerber betrachtet.

The new Economy versprach und vernichtete vieles… Wertschöpfung durch „sichere“ ICT
Vor zirka 15 Jahren versprachen viele Berater, Strategien, Firmen, Leadership-Methoden, Führung ein ungeahntes Potential in den Bereichen Internet, E-Business etc. und viele Firmen, Organisationen, Technologien wuchsen ins Unermessliche an ohne auch z.B. die Prozesse, Sicherheit, Risiken und nötigen Organisationsanpassungen zu prüfen und anzupassen.
Die DOT.COM-Blase platzte entsprechend und auch die ICT-Industrie litt stark darunter als damals als reiner Kostenfaktor und Wertvernichter deklariertes notwendiges Uebel.
Damit die ICT zunehmend entscheidend unterstützen kann zur Wertschöpfung und Effizienzsteigerung / Business-Support braucht es immer noch entsprechende überzeugende „Missionarsarbeit“ und zunehmende abgesicherte / überwachte Prozesse aufgrund der zunehmend business-kritischen ICT.

Ein Teil des Internet – Internet ein Teil von uns – Big Brother is watching us in our „smart“ homes
Vor nicht allzu langer Zeit war das unsichere Internet isoliert begrenzt auf einen Firmen- oder Heim-Computer. Mit der fortschreitenden Entwicklung von Internet- / Cloud-Lösungen und wachsender Mobilität mittels z.B. Smartphones, Notebooks, HomeOffice-Arbeit schwindete die Grenze zwischen Privat und Business zunehmend – und letztlich auch die Gesamt-Sicherheit.
Weitere Entwicklungen im Bereich der Heimvernetzung und letztlich „Internet der Dinge“ wird dazu beitragen, dass wir nicht mehr nur ein Teil des Internets sind sondern das Internet ein Teil von uns wird. Dass dann hierbei Unmengen von (hoffentlich) erwünschten und auch unerwünschten Informationen in alle Richtungen fliessen werden im gesamten Haushalt / Haustechnik / HomeOffice-Firmen-EDV / Privat-EDV und speziell auch Kinder-EDV wird weitere Fragen und Herausforderungen der beherrschbaren Sicherheit aufwerfen.
Nur noch dies: globale Internet-Industriegiganten wie z.B. CISCO, Google, Microsoft, Amazon, Siemens sind aufgrund Ihrer Landesherkunft und deren dominanten Verbreitung im Internet und wachsenden totalen Vernetzung, auf Internet-Core-Infrastruktur-Bereichen und dem künftigen „Internet der Dinge“ letztlich überall „allzu sehr heimisch“ in unseren Haushalten, Firmen und Netzwerken – und immer wieder mit dem irgendwo hinterlegten „Master-Passepartout-Datenschlüssel“ ausgestattet genau zu beobachten … oder werden diese gar mal genötigt, regulatorisch vorgegebene Staats-Trojaner zu „akzeptieren“ oder „mit zu implementieren“ (?)
Hoffen wir doch, dass künftig die Hacker nicht via Kühlschrank zu uns kommen oder deren eigene Leibspeisen zu uns nach hause bestellen … oder uns ein- oder raus-sperren via Türen-Management-System.
Unsere „connected smart homes“ mögen zwar irgendwann smart sein… aber auch wirklich sicher ??

Der Schutz der digitalen Identität im 21. Jahrhundert – ein „multifaktoreller“ Widerspruch ?!
Ein Megatrend des plattformübergreifenden „Single Sign On (SSO) / Anmeldung mit nur einer Anmeldung“ im Zuge der standort- und geräte-unabhängigen Zugangsmöglichkeiten auf z.B. Cloud, Social Media, Apps, Firma, Kreditkarte via allen Geräten wie Smartphones, Tablets, Notebooks, PC, Heimgeräte eröffnet völlig neue Konform-Stufen bei auch unschwer zu erkennenden, erhöhten Sicherheits-Gefahren.
Eine sehr grosse Herausforderung wird der künftige Schutz genau dieses zunehmend, konsolidiert zentralen Einstiegspunktes sein, der ja auch irgendwann mal nebst z.B. dem reinen Datenzugang auch weitergehende sehr personensensitive Informationen wie z.B. Bankzugänge, Gesundheitsinformationen, Familie, Kinder schützen wird (hoffentlich).
Dass hier vorallem in den Bereichen wie Social Media (Facebook, Twitter etc.) und Email dermassen unnötig und gefährlich viele personensensitive Daten bereits jetzt schon fahrlässig öffentlich (und teilweise unaufgefordert…) verteilt werden erschwert auch hier der Spagat zwischen Fahrlässigkeit und Sicherheitsanforderung. Leider ist der „gläserne“ Mensch im Internet nicht schwer sichtbar, nur weil er aus Glas ist… im Gegenteil: er macht sich meist selbstverschuldet selber „extrem gläsern“ und sichtbar…
Auch muss zur Kenntnis genommen werden, dass die eigene Identität nicht mehr genügend geschützt ist mir „nur“ Benutzername und Kennwort und es wenigstens jetzt schon z.B. Einmal-Anmelde-Verfahren (OneTimeToken, OTP) gibt.
Den Bedrohungen des 21. Jahrhunderts ist die Authentifizierung per einfacher oder auch zweifacher Anmeldung nicht mehr gewachsen. Eine neue Generation – von gar bewusst system-verteilten und voneinander unabhängigen, nicht konzentriert angreifbaren – (Cloud)-Anmeldelösungen mit dynamischer Multifaktor-Authentifizierung und Authorisierung ist unumgänglich. Diese können dann noch mehrstufig verstärkt werden mit z.B. kontextbasierten Verhaltensmustern, Standortbezogenheit und Echtzeit-Token an persönliche Devices.

Sicherheitsoptimierung durch (Hybrid)Cloud oder Big Data ?
Im Zuge der aktuellen Erkenntnissen rund um die verschiedenen Nachrichtendienste und deren grenzenlosen Datenzugangs-Möglichkeiten und dem offenbaren Trend von „jeder bespitzelt jeden“ stellen sich einige Grundsatzfragen.
Eine Private Cloud ist schon längstens nicht mehr „privat“ – sei es durch Schwachstellen in den Bereichen Prozesse, Technologie oder vorallem  des Menschen / Mitarbeiter – oder eben durch die Nachrichtendienste und künftig der Staaten mit z.B. Staatstrojanern (?)
Wäre aus diesem Aspekt dann die Auslagerung von einzelnen ICT-Themen in die Public Cloud / Hybrid Cloud „sicherer“ und „beherrschbarer“ wenn nur schon mal einer der Haupt-Sicherheits-Risiko-Faktor „Mitarbeiter“ und lokale Prozesse ausgelagert sind?
Eine gezielt, isolierter Sicherheits-Schwachstellen-Angriff auf eine Firmen-ICT-Infrastruktur (inkl. auch physisch vor Ort oder per Social Engineering / Trojaner / Malware etc.) ist natürlich viel einfacher als ein eher ungezielter, nicht isolierbarer Angriff auf eine Public Cloud oder „Mega Cloud“. Die Analogie bei der „Mega Cloud“ zur mühsamen und eher unendlichen Suche nach der bekannten Nadel (Firmendaten) im dann aber SEHR grossen Heuhaufen (Cloud) ist hier mehr als angebracht.
Und leider müssen hier noch weitere Fakten (oder alte Paradigmen) adressiert werden:
Der Datenstandort wird zunehmend irrelevant für die teilweise schon jetzigen oder dann künftigen immer globaler werdenden Sicherheitsfragen.
Zunehmend lassen CH-Firmen sicherheits-relevante Systeme von externen oder gar ausländischen Serviceorganisationen betreiben – inkl. auch grenzüberschreitendem Informationsaustausch.
Ein „sicherer“ Weg (als bisher…) in einen ICT-Transformations-Prozess / Cloud kann also auch – trotz allen anderslautenden Meldungen – gerade darum eine gut orchestrierte Kombination von (Hybrid)Cloud-Lösungen und Managed Services sein. Hier könnte der Ansatz „the very best out of all Clouds“ ein gangbarer Weg sein wenn diese mittels den nötigen Prozessen, Technologien, Mitarbeiter und Risk-Management / ICT-Governance gestützt werden von der Führungsebene und letztlich der Firmen-Strategie und davon abgeleitet der ICT-Strategie.

Kontrollen über Kontrollen = Bestandteil der unabhängigen Qualitätssicherung, aber auch echte Sicherheit ?
Seit Jahren entstanden immer mehr ICT-Kontroll-Methoden oder Vorgaben seitens der ICT-Industrie, Regulatoren oder auch seitens einzelnen Branchen-Verbänden.
Bei vielen Firmen in der Schweiz wurden meist seitens der Treuhänder, Revisions-Stellen, Auditoren oder des eigenen Verwaltungsrates an gewisse Standards angelehnte interne Kontrollsysteme (IKS) aufgebaut und eingeführt.
Viele dieser Kontrollsysteme bedienen sich an generischen und aber zum Glück auch an spezialisierteren Fragestellungen rund um ICT-Prozesse und ICT-Risk Management. Firmenvitale Prüfpunkte rund um z.B. ICT-Gesamt-Sicherheit, Datensicherheit, Datensicherungs-Prozesse, Social Engineering, Mensch als Sicherheits-Faktor 1, KnowHow-Transfer, Mitarbeiter-Eintritt / Mitarbeiter-Austritt, ICT Security Polices, Internet-Nutzungs-Richtlinien, Datenklassifizierungen etc. wurden mehr oder minder darin abgedeckt und dann aber vielfach dann “einfach abgehakt”

Gut orchestrierte Theorie- und Praxis-Anwendung schafft echter Mehrnutzen
Aus eigener jahrelanger Beobachtung und eigener Anwendung und Beratung in solchen ICT-Audits oder Zweitmeinungs-Abgaben erhärtete sich der Eindruck und Fakt, dass viele dieser Kontrollsystemen teilweise in gewissen kritischen Bereichen zu wenig tief oder zu wenig weit in der Tragweite gehen.
Die besten Expertisen und Audits / ICT-Governance sind immer solche, die Theorie (Methoden, Standards, Prozesse) und Praxis (Systemtechnik, Systemengineering, Automatisierung) auf der Basis von z.B. “Best Practices” oder selber angewandten Prozessen abdecken.
Ein echter Mehrnutzen – und nicht nur eben das “Abhaken” von theoretisch basierten Kontroll-Listen – kann entstehen wenn der ICT-Auditor gemeinsam mit den Systemverantwortlichen echte Schwachpunkte und Verbesserungs-Potentiale analysiert, testet und dann effektiv auch einführt. Hierzu gilt es, sämtliche Hands-On-Praxis und besten Erfahrungen von anderen Kunden, der eigenen Infrastruktur-Umgebung und von allen taktisch gut ausgewählten KnowHow-Trägern zu nutzen und massgeschneidert passend in die ICT-Organisation einzuführen. Daraus muss letztlich ein echter Mehrnutzen (und zwar nicht nur aus Sicht des ICT-Auditoren…) entstehen für z.B. die ICT-Organisation, ICT-Automatisierung, Führungs-Ebene und den Revisions-Stellen / Treuhändern und letztlich dem Risk-Management.

Und trotzdem: Innovationen durch Audits und Risk-Management
Die Erfahrung zeigt, dass durch das proaktive Anwenden und Akzeptieren von gemeinsam definierten Prozessen oder IKS – mit eben auch Blick nach vorne oder auf neue adaptierbare Technologien und Methoden – durchaus auch Innovationen entstehen in einer solchen fortwährenden Transformation in eine Art “Business Excellence in der ICT”.
Dies auch unter dem Aspekt, dass sich mehrere Sichten, Bedürfnisse, Expertisen und Erfahrungswerte vereinen und das “möglichst Beste aus der Praxis und Theorie” einbringen in dann ein echtes und vorallem dann angewandtes IKS / Audit-System.
Eine daraus realisierbare Standardisierung, Automatisierung, Changemanagement oder Homogenisierung von ICT-Prozessen oder ICT-Infrastrukturen kann ein weiteres Nebenprodukt sein hierbei.

Performance- und Sicherheits-Penetration-Tests mit Baselining – einer ist keiner.
Es gibt viele Möglichkeiten, vorgegebene Sicherheits-Standards und Compliance-Vorgaben intern oder extern überprüfen zu lassen. Je nach Sicherheits-Anforderungen oder Vorgaben des IKS kann es nötig sein, erweiterte Test-Szenarien zu definieren und prüfen zu lassen durch die externe ICT-Serviceorganisation oder externe, darauf spezialisierte Dienstleister.
Auf dem Markt gibt es viele Anbieter und ab und an entpuppen sich preisgünstige Angebote als reine, simple Security Scans mit gängigen technischen Tools aber ohne weitergehende Ueberprüfung dahinter – mit auch Defiziten in denLerneffekten und best practices technischen Massnahmen als Gegenwert der Ueberprüfung.
Die eingangs im Artikel angesprochene Analogie zum DatenSCHUTZ in der DatenFLUT (reissender Wasserstrom) zeigt die schwierige Herausforderung auf bei solchen Tests und verlangt immer mehr nach hochspezialisierten Managed Security Services Dienstleistern welche mit z.B. nur Evaluationen von Baselines und dem fortwährenden Monitoring dieser Baselines dann Auffälligkeiten (zu grosser oder zu kleiner Fisch im Fluss…) / Angriffsmuster erkennen, eskalieren und verhindern können – im Gegensatz zum einmaligen Penetration Scan ohne Trends oder brauchbare Vergleiche zu Baselines.
Nebst dem reinen systemtechnischen Ansatz werden auch zunehmend immer mehr z.B. Prozess-, Informationsmanagement- und ICT-Forensik-Spezialisten involviert um möglichst ein breitgefächertes Sensorium aufzubauen.

Ansatz von Szenarientechnik und Herausforderungen von dynamischen Bedrohungslagen
Weitere Erfahrungswerte aus erlebten und gesehenen Krisen und Super-GAUs zeigten auf, dass das Spannungsfeld von Theorie und Praxis sich immer mehr akzentuierten in Richtung von angewandten Szenarien-Techniken im Bereich von Planung, Ueberwachung und Controlling.
Vermeintlich einfache Fragen wie zum Beispiel: (bewusst einige einfache Beispiele für die Verdeutlichung)
“Was passiert ab wann bei einem Internet-Zugangs-Ausfall”
“Was passiert und wird eingeleitet bei einem Stromausfall welcher länger dauert als 1 Stunde ?”
“Welche Systeme und ICT-basierte Prozesse können wie weitergeführt werden bei einem Komplett- oder Teil-Ausfall der ICT-Systemumgebung”
“Zu welchem Zeitpunkt muss der Uebergangs-Betrieb mit welchen “analogen” Prozessen oder auf dem “Papierweg” weitergeführt werden und welche Kunden oder Organisationen (z.B. Zoll, Spedi, Transport, Behörden, Geschäftsleitung, Verwaltungsrat, Presse) müssen wie informiert werden”
“Wie lange kann die Prozess-Landschaft ohne ICT-Business Unterstützung (wenn überhaupt und wie?) funktionieren”
“Wieviele voll- oder halb-automatische System-Redundanz wird benötigt im Gesamt-System oder klassifizierten Teil-Systemen”
“Was für Zusatz-Massnahmen sind nötig für die aktuelle, dynamische Bedrohungslage gegenüber des neu bekannten Sicherheits-Problems xy”
“Können die eingesetzten Sicherheits-Infrastrukturen wie z.B. Internet-Firewall, Mail-Filterung, Content-Ueberwachung, Viren-Malware-Filterung etc. entsprechende brauchbare proaktive Alarmierungen oder Trends reporten und auswerten. Oder braucht es übergeordnete Monitoring-Systeme?”
“Was ist das verlangte Service Level Agreement von externen Dienstleistern hinsichtlich Reaktions- (MTTR, Mean time to react) oder Reparatur-Zeiten (MTTR, Mean time to repair)”
“Was passiert wie schnell bei einem schweren Mitarbeiter-Datensicherheits- oder EDV-Nutzungs-Verstoss gemäss ICT Security Policy”
“Sind die Mitarbeiter genügend sensibilisiert, aufgeklärt und geschult zu Basis-ICT-Sicherheits-Prozessen”
“Was passiert wenn es mehrere Fehler gibt bei den Backup-Prozessen oder Backup-Wiederherstellungs-Prozessen”
“Was passiert ab wann bei einem externen oder internen gezielten Hacker- / Trojaner-Angriff” “Gibt es ein Change Management für kontrollierte Systemaenderungen”
“Sind die eingesetzten EDV-Mittel genügend dokumentiert und die entsprechenden Versicherungen / Versicherungssummen darauf korrekt ausgerichtet”
“Ist der KnowHow-Transfer bzw. Wissenstraeger-Abhaengigkeit genuegend geregelt und sichergestellt”
“Ist die physische Server-Raum-Sicherheit genuegend sicher fuer einfache Einbrueche oder Sabotagen”
“Ist die externe sichere Backup-Aufbewahrung sichergestellt”

Die Gesamt-Sicherheit braucht auch eine Gesamt-Rahmen-Sicht
Die Gesamt-Sicherheit ist einem gesamten Rahmen zu sehen – beginnen tut diese aber sicherlich in der internen, selbstkritischen Betrachtung von eigenen Prozessen und Infrastrukturen und erst danach bzw. wenn das bereinigt, geklärt, definiert und kontrolliert ist sollte man den Fokus erweitern in Richtung der externen Abhängigkeiten, Hackern, Cloud etc.
Die ICT-Gesamtsicherheit bzw. letztlich die ICT-Strategie ist ein umfassender Gesamt-Prozess und Verantwortlichkeit auf der Führungsebene und nicht nur eine Ansammlung von Technologien / Produkten / Tools.
Der Faktor Mensch ist unter diesem Aspekt wichtiger und heikler als der Faktor Maschine.
Dabei ist auch der übrigbleibende Aspekt des Risk-Managements sehr wichtig.
Eine 100% Sicherheit bei Mensch und Maschine gibt es nicht und wird es nie geben und hier ist es die Aufgabe der Führungsebene oder Kontroll-Gremien (Audit, IKS, Controlling) genau diese Rest-Risiken zu identifizieren, zu werten, zu testen und mit gangbaren präventiven Massnahmen und Prozessen zu reduzieren und sporadisch zu prüfen (so gut es geht eben …)
Aus diesen Aspekten heraus empfehle ich: Bevor irgendwelcher externer, technischer Schutzwall aufgebaut wird, sollte man als Basis die internen Prozesse / Sicherheit / Risk-Management optimieren und möglichst „zukunftsgewappnet“ transformieren.

Eine „sichere“ Informations-Zukunft und nachhaltiges System-Wachstum braucht ein „sicheres“ interdisziplinär abgestütztes Rückgrat
Letztlich ist es so, dass „sichere“ ICT-Services / ICT-Prozesse das Rückgrat sind von „modern Business“ und der voranschreitenden digitalen Transformations-Prozessen und dem ansteigenden Wandlungsdruck.
Auch die Globalisierung / New Economy ist mitunter mitverantwortlich für einen schon lange andauernden, grenzüberschreitenden Informations-Austausch. Und hier sprechen wir von unterschiedlichsten Grenzen (z.B. Geografie, Systeme, Private-Business, Politik, Behörden, Gesellschaft, Bildung, Health, Wissenschaft, Wirtschaft, Märkte) welche zunehmend nur in einer interdisziplinären Zusammenarbeit möglichst gut „abgesichert“ werden können mit allen Akteuren und dem gemeinsamen Ziel eines nachhaltigen, sicheren Global-System-Wachstums.

ICT-Audit und Controlling: Innovationen durch Risk-Management

audit

Kontrollen über Kontrollen = Bestandteil der unabhängigen Qualitätssicherung, aber auch echte Sicherheit ?
Seit Jahren entstanden immer mehr ICT-Kontroll-Methoden oder Vorgaben seitens der ICT-Industrie, Regulatorien oder auch seitens einzelnen Branchen-Verbänden.
Bei vielen Firmen in der Schweiz wurden meist seitens der Treuhänder, Revisions-Stellen, Auditoren oder des eigenen Verwaltungsrates an gewisse Standards angelehnte interne Kontrollsysteme (IKS) aufgebaut und eingeführt.
Viele dieser Kontrollsysteme bedienen sich an generischen und aber zum Glück auch an spezialisierteren Fragestellungen rund um ICT-Prozesse und ICT-Risk Management. Firmenvitale Prüfpunkte rund um z.B. ICT-Gesamt-Sicherheit, Datensicherheit, Datensicherungs-Prozesse, Social Engineering, Mensch als Sicherheits-Faktor 1, KnowHow-Transfer, Mitarbeiter-Eintritt / Mitarbeiter-Austritt, ICT Security Polices, Internet-Nutzungs-Richtlinien, Datenklassifizierungen etc. wurden mehr oder minder darin abgedeckt und dann aber vielfach dann „einfach abgehakt“
>> siehe auch anderer Artikel Sicherheits-Anforderung versus eigener Sicherheits-Sensibilität

Einige Firmen reagieren darauf und lassen sich durch externe Fachexperten eine Zweitmeinung bilden im Sinne eines Mehraugenprinzips bei dem zunehmend organisationskritischen ICT-Prozess-Bereich.

Gut orchestrierte Theorie- und Praxis-Anwendung schafft echter Mehrnutzen
Aus eigener jahrelanger Beobachtung und eigener Anwendung und Beratung in solchen ICT-Audits oder Zweitmeinungs-Abgaben erhärtete sich der Eindruck und Fakt, dass viele dieser Kontrollsystemen teilweise in gewissen kritischen Bereichen zu wenig tief oder zu wenig weit in der Tragweite gehen.
Die besten Expertisen und Audits sind immer solche, die Theorie (Methoden, Standards, Prozesse) und Praxis (Systemtechnik, Systemengineering, Automatisierung) auf der Basis von z.B. „Best Practices“ oder selber angewandten Prozessen abdecken.
Ein echter Mehrnutzen – und nicht nur eben das „Abhaken“ von theoretisch basierten Kontroll-Listen – kann entstehen wenn der ICT-Auditor gemeinsam mit den Systemverantwortlichen echte Schwachpunkte und Verbesserungs-Potentiale analysiert, testet und dann effektiv auch einführt. Hierzu gilt es, sämtliche Hands-On-Praxis und besten Erfahrungen von anderen Kunden, der eigenen Infrastruktur-Umgebung und von allen taktisch gut ausgewählten KnowHow-Trägern zu nutzen und massgeschneidert passend in die ICT-Organisation einzuführen. Daraus muss letztlich ein echter Mehrnutzen (und zwar nicht nur aus Sicht des ICT-Auditoren…) entstehen für z.B. die ICT-Organisation, ICT-Automatisierung, Führungs-Ebene und den Revisions-Stellen / Treuhändern und letztlich dem Risk-Management.

Performance- und Penetration-Tests
Es gibt viele Möglichkeiten, vorgegebene Sicherheits-Standards und Compliance-Vorgaben intern oder extern überprüfen zu lassen. Je nach Sicherheits-Anforderungen oder Vorgaben des IKS kann es nötig sein, erweiterte Test-Szenarien zu definieren und prüfen zu lassen durch die externe ICT-Serviceorganisation oder externe, darauf spezialisierte Dienstleister.
Auf dem Markt gibt es viele Anbieter und ab und an entpuppen sich preisgünstige Angebote als reine, simple Security Scans mit gängigen technischen Tools aber ohne weitergehende Ueberprüfung dahinter – mit auch Lerneffekten und best practices technischen Massnahmen als Gegenwert der Ueberprüfung.

Ansatz von Szenarientechnik und Herausforderungen von dynamischen Bedrohungslagen
Weitere Erfahrungswerte aus erlebten und gesehenen Krisen und Super-GAUs zeigten auf, dass das Spannungsfeld von Theorie und Praxis sich immer mehr akzentuierten in Richtung von angewandten Szenarien-Techniken im Bereich von Planung, Ueberwachung und Controlling.
Vermeintlich einfache Fragen wie zum Beispiel: (bewusst einige Beispiele für die Verdeutlichung)
„Was passiert ab wann bei einem Internet-Zugangs-Ausfall“
„Was passiert und wird eingeleitet bei einem Stromausfall welcher länger dauert als 1 Stunde ?“
„Welche Systeme und ICT-basierte Prozesse können wie weitergeführt werden bei einem Komplett- oder Teil-Ausfall der ICT-Systemumgebung“
„Zu welchem Zeitpunkt muss der Uebergangs-Betrieb mit welchen „analogen“ Prozessen oder auf dem „Papierweg“ weitergeführt werden und welche Kunden oder Organisationen (z.B. Zoll, Spedi, Transport, Behörden, Geschäftsleitung, Verwaltungsrat, Presse) müssen wie informiert werden“
„Wie lange kann die Prozess-Landschaft ohne ICT-Business Unterstützung (wenn überhaupt und wie?) funktionieren“
„Wieviele voll- oder halb-automatische System-Redundanz wird benötigt im Gesamt-System oder klassifizierten Teil-Systemen“
„Was für Zusatz-Massnahmen sind nötig für die aktuelle, dynamische Bedrohungslage gegenüber des neu bekannten Sicherheits-Problems xy“
„Können die eingesetzten Sicherheits-Infrastrukturen wie z.B. Internet-Firewall, Mail-Filterung, Content-Ueberwachung, Viren-Malware-Filterung etc. entsprechende brauchbare proaktive Alarmierungen oder Trends reporten und auswerten. Oder braucht es uebergeordnete Monitoring-Systeme?“
„Was ist das verlangte Service Level Agreement von externen Dienstleistern hinsichtlich Reaktions- (MTTR, Mean time to react) oder Reparatur-Zeiten (MTTR, Mean time to repair)“
„Was passiert wie schnell bei einem schweren Mitarbeiter-Datensicherheits- oder EDV-Nutzungs-Verstoss gemäss ICT Security Policy“
„Sind die Mitarbeiter genügend sensibilisiert, aufgeklärt und geschult zu Basis-ICT-Sicherheits-Prozessen“
„Was passiert wenn es mehrere Fehler gibt bei den Backup-Prozessen oder Backup-Wiederherstellungs-Prozessen“
„Was passiert ab wann bei einem externen oder internen gezielten Hacker- / Trojaner-Angriff“ „Gibt es ein Change Management fuer kontrollierte Systemaenderungen“
„Sind die eingesetzten EDV-Mittel genuegend dokumentiert und die entsprechenden Versicherungen / Versicherungssummen darauf korrekt ausgerichtet“
„Ist der KnowHow-Transfer bzw. Wissenstraeger-Abhaengigkeit genuegend geregelt und sichergestellt“
„Ist die physische Server-Raum-Sicherheit genuegend sicher fuer einfache Einbrueche oder Sabotagen“
„Ist die externe sichere Backup-Aufbewahrung sichergestellt“

Vielfach vergessen: Controlling des ICT-Vertragswesens und SLA / OLA
Ein sehr wichtiger und aber leider vielfach zu wenig dokumentierter Teilbereich identifiziere ich bei vielen auditierten Organisationen im Bereich des ICT-Vertrags- und Versicherungs-Wesens.
Um die Gesamt-Sicherheit und letztlich die System-Verfügbarkeit allumfassend beurteilen zu können, müssen auch die entsprechend klassifizierten Vertragsnehmer hinsichtlich deren Service Level Agreements (SLA) / Reaktionszeiten / Gewährleistungen geprüft werden.
Vielfach wird dann auch unterlassen, dass nebst den klassichen SLA-Betrachtungen teilweise auch übergeordnete sogenannte OLA (Operation Level Agreements) nach noch schärferen Kriterien und Reaktionszeiten abgeschlossen werden müssen damit die SLAs (interne oder externe) überhaupt abdeckbar sind. Etwelche Verträge oder Gewährleistungen sind mitunter aufgrund nicht passenden internen oder externen SLA / OLA eigentlich gar einhaltbar und würden weiteren Negativ-Punkte in einem detaillierten ICT-Audit oder IKS abgeben.

Immer wichtigerer Teil-Aspekt legale Software-Nutzung und Software-Lizenzierung
Der Kunde ist verantwortlich für die lückenlose Lizenzierung sämtlich eingesetzter Software, Tools auf seinen genutzten Umgebungen vor Ort oder auf den Cloud-Plattformen des Cloud-Services-Dienstleister. Der Kunde bewahrt die entsprechenden Lizenz-Keys, Lizenz-Papiere, Volumen-Lizenzen-Informationen / Zugänge oder anderweitige Belege auf und übermittelt diese zu Beginn der Zusammenarbeit als z.B. Scan oder Mail an den ICT-Support- oder Cloud-Services-Dienstleister für den Lizenz-Nachweis und Dokumentation.
Lokale Lizenzenänderungen sind ebenfalls entsprechend laufend zu melden.
Als speziell genannte Beispiele für die kundenseitige Verantwortlichkeit gehören hierzu z.B. Microsoft Office, Microsoft Windows, Microsoft Server Palette, Datenbanksoftware, Apps, Virenschutz, Grafikbearbeitung, CAx, Entwicklungsumgebungen, Microsoft Volumen-Lizenzen und allfällig zusätzlich benötigte Client-Zugriffs-Lizenzen.
Der Kunde informiert sich bei Unklarheiten zur lokalen Lizenzierung in dessen Umgebung / Netzwerk / Domaine / Arbeitsgruppe (z.B. Upgrade- / Down-Grade-Rechte, Versionen, Anzahl benötigter Lizenzen etc.) proaktiv und direkt bei dessen Softwarelieferanten. Der ICT-Support- oder Cloud-Services-Dienstleister kann ihn hierbei (meist kostenpflichtig) unterstützen.
Aufwändungen für allfällige Lizenzen-Audits / Dokumentationen / Abklärungen / Besprechungen seitens der Software-Lieferanten wie z.B. Microsoft sind in jedem Fall kostenpflichtig und nicht abgedeckt seitens der ICT-Support- oder Cloud-Services-Dienstleister.
Der Kunde nimmt explizit zur Kenntnis, dass bei allfälligen Lizenzierungs- / Rechts-Verstössen der Kunde rechtlich direkt belangt würde seitens der Software-Lieferanten wie z.B. Microsoft und der ICT-Support- oder Cloud-Services-Dienstleister hierauf keinen Einfluss hat.
Spezielle Cloud-Services-Lizenzen welche der Kunde je nach Vertrag durch seine Services mietet und separat bezahlt via a) dem Microsoft SPLA-Agreement oder b) Microsoft Online Services (z.B. Office 365, MS Azure, Windows Intune) oder c) Volumen-Lizenz-Verträgen werden vielfach seitens der ICT-Support- oder Cloud-Services-Dienstleister verwaltet und monatlich reported. Allfällige Änderungen bei diesen gemäss separater Vertrags- und Verrechnungs-Positionen gemieteten Software, Benutzerzahlen, Versionen sind unverzüglich an den ICT-Support- oder Cloud-Services-Dienstleister zu melden für die lückenlose und genaue Lizenzen-Reporting-Anforderung.
Auch hier ist es vielfach so, dass Ueber- / Unter-Lizenzierung zu grossen negativen oder positiven Potentialen führen kann in den Bereichen wie Kosten, rechtlichen Angriffsflächen oder letztlich Compliance-Themen.
Es gibt einige auf SAM (Software Asset Management) spezialisierte Firmen, Dienstleistungen und Tools die (lieber vor…) während einem Audit eingesetzt werden können.
Vielfach entstehen vorallem in der heutigen Bandbreite der Lizenierungsoptionen nennenswerte Innovationen im Lizenzierungsbereich z.B. reine Miete, Miete-Kauf, günstigere Kauf-Optionen und auch Lizenzierung mit weitergehenden Zusatzservices und Zusatzrechten (wie Office365 für den Bereich der Office-Lizenzierung oder Windows Intune für den Bereich der Windows- und Endpoint-Protection-Lizenzierung)

Innovationen durch Audits und Risk-Management
Die Erfahrung zeigt, dass durch das proaktive Anwenden und Akzeptieren von gemeinsam definierten Prozessen oder IKS – mit eben auch Blick nach vorne oder auf neue adaptierbare Technologien und Methoden – durchaus auch Innovationen entstehen in einer solchen fortwährenden Transformation in eine Art „Business Excellence in der ICT“.
Dies auch unter dem Aspekt, dass sich mehrere Sichten, Bedürfnisse, Expertisen und Erfahrungswerte vereinen und das „möglichst Beste aus der Praxis und Theorie“ einbringen in dann ein echtes und vorallem dann angewandtes IKS / Audit-System.

100% Sicherheit gibt es nicht – der Rest ist reines Risk-Management und nicht Technologie
Diverse Ansätze / Methoden / Compliance Anforderungen wie z.B. Business Recovery System (BRS), Disaster Recovery Tests, Contingency Plan, IKS oder Prozesse nach CobIT, ITIL, ISACA, ISO, IEC27001, IEC17799, SOX, IT GSHB können schon sehr viel an generischen Risiken und entsprechenden Gegenmassnahmen abdecken. Jedoch sind diese eben „nur generisch“ und müssen massgeschneidert an die effektive Firmen-ICT-Prozesslandschaft angewandt und an die ICT-Teilziele der Firmen-Gesamt-Strategie angelehnt werden.
Es bleiben immer Rest-Risiken übrig welche im Risk-Management abgebildet werden müssen.
Innerhalb des Risk-Management-System geht um einen laufenden Loop von „Erkennung“, „Bewertung und Klassifizierung“, „Managen“ und „Ueberwachung und Kommunikation“
Ich neige bei vielen Controlling-Systemen und Audits zu sagen: „Das ist vieles abdeckbar mit Prozessen, ICT-Technologien und vorallem Tests. Die anderen Rest-Risiken gehören ins Risk-Management und haben nicht mehr ausschliesslich was mit ICT-Technologie zu tun. Sicherheit ist keine reine Technologie-Frage sondern eine Kombination von wiederkehrenden Prozessen in einem Gesamt-ICT-Audit-System“