Volker Jacumeit
Gruppenleiter IT und IT-Sicherheit, DIN Deutsches Institut für Normung e. V.
Volker Jacumeit
Gruppenleiter IT und IT-Sicherheit, DIN Deutsches Institut für Normung e. V.
Hr. Volker Jacumeit präsentiert auf der Rethink! IT Security den Workshop:
„Digitale Identitäten als Handelnde in einem interoperablen Netz – Strategische Herangehensweise erforderlich“
Volker Jacumeit, Gruppenleiter IT und IT-Sicherheit bei DIN e.V.in dieser Funktion ist er u.a. auch Geschäftsführer des Normenausschuss Informationstechnik und Anwendungen (NIA) sowie der Koordinierungsstelle IT Sicherheit (KITS). Hier spielen vor allem internationale und europäische Normen eine entscheidende Rolle. Vor seiner Tätigkeit bei DIN war er viele Jahre als Projektmanager im Siemenskonzern im Bereich IT und Communication tätig und kennt daher IT-Sicherheit und Datenschutz als Anwender der entsprechenden Normen und Standards. Gemeinsam mit Experten aus Wirtschaft, Forschung und Verwaltung vertritt er die deutsche Position bei internationalen Normungsgremien.
Volker Jacumeit: In vielen Punkten sind Endgeräte, insbesondere sogenannte Consumer-Produkte, die Jedermann mit dem Web verbinden kann, heute gar nicht geschützt. Das heißt die meisten dieser Geräte verfügen nicht einmal über eine Kennung und ein Passwort. Geräte sind hierbei Web-Cams, die die Wohnung bei Abwesenheit überwachen sollen oder Steuerungen für die Heizung und Rollläden. Aber auch so simple Dinge wie interaktives Spielzeug in Form von Puppen oder Kuscheltieren. Selbst wenn höherwertige Geräte über eine Kennung und ein Passwort geschützt sind, fehlt dann in der Regel ein Virenschutz und die Möglichkeit diese Schutzsoftware und das Betriebssystem durch Updates während der Genrauchzeit mit Änderungen/Verbesserungen zu versorgen.
Volker Jacumeit: In vielen Fällen hat sich gezeigt, dass Standardisierung und Normung helfen kann, damit Produkte und Dienstleistungen sicherer werden. Was in der analogen Welt gut funktioniert, wird auch in der digitalen Welt passen. In der digitalen Welt fehlt leider oft das Bewusstsein, welche Gefahren man ausgesetzt ist, wenn Geräte, die am Web abgeschlossen sind, anrichten können. Das liegt zum einen daran, dass selten körperliche Gefahren damit verbunden sind und Schäden oft sehr spät erkannt werden. Nach den Botnetzangriffen der letzten Jahre sind allerdings auch Hersteller aufgewacht. Zurzeit wird bei DIN eine DIN-Spezifikation erarbeitet, die für solche, sog. IoT-Geräte, Mindeststandards in Sachen IT-Sicherheit definiert. Diese DIN-Spezifikation wird dann von Deutschland als Vorschlag in das entsprechende internationale Normungsgremium bei ISO/IEC eingebracht.
Volker Jacumeit: Die KITS, also die Koordinierungsstelle IT-Sicherheit bei DIN wurde vor einigen Jahren eingerichtet, um branchenübergreifende und damit auch Normenausschuss übergreifende IT-Sicherheitsthemen zu behandeln. Es hat sich in der Vergangenheit gezeigt, dass die KITS eine Stelle für neue IT-Sicherheitsprojekte ist. Zusammen mit dem BITKOM wurde auch ein sogenannter IT-Sicherheitskompass erstellt, der gute Hilfestellung bietet, wenn man sich in einem Unternehmen oder einer anderen Organisation erstmals mit dem Thema IT-Sicherheit und den damit verbundenen Normen und Standards auseinandersetzen muss. Diese Web-Anwendung hilft die für das jeweilige Aufgabengebiet relevanten IT-Sicherheitsnormen zu identifizieren und gibt kurz den Inhalt sowie Ziel und Zweck der entsprechenden Norm wieder. http://www.kompass-sicherheitsstandards.de/Default.aspx
Mit der zunehmenden Digitalisierung wird das Thema IT-Sicherheit immer wichtiger und die Einbeziehung von Anwendern und Verbraucherschutz notwendig. Die KITS ist auch hierfür ein wichtiges Gremium.
Volker Jacumeit: Die Normungs-Roadmap IT-Sicherheit soll vor allem sensibilisieren. Gespräche mit Unternehmensvertretern auf diversen Veranstaltungen zum Thema IT-Sicherheit haben gezeigt, dass uns dieses mit der Roadmap auch gelungen ist. Darüber hinaus führt die KITS jedes Jahr eine größere IT-Sicherheitskonferenz durch.
Volker Jacumeit: Gesetzgebung kann und muss den ordnungspolitischen Rahmen für IT-Sicherheit festlegen. Dabei muss definiert werden was die Bundesregierung als schützenswert ansieht und welche Rechte und Pflichten Unternehmen und Personen in diesem Zusammenhang haben. Auch welche Behörden hinsichtlich von Fragen oder der Kontrolle der Umsetzung zuständig sind. Das konkrete „Wie“ diese Rahmenbedingungen umgesetzt werden, sollte durch Normen geregelt werden. Diese beschreiben sowohl die notwendigen und praktikablen Managementprozesse als auch den Stand der Technik im Hinblick auf eine technologische Umsetzung z.B. durch die bereits erwähnten Mindeststandards. Normen regeln auch den Einsatz der IT-Sicherheitstechnologie durch die Festlegung von Sicherheitsebenen (sog. Sicherheitslevels), denn nicht jede Anwendung und nicht jedes Gerät muss nach den höchsten Sicherheitskriterien behandelt werden. Die Normen bilden wiederum die Grundlage für Konformitätsprüfungen und führen so zur Zertifizierung von Produkten, Lösungen oder Unternehmen. Das führt zu transparenten Prozessen und gibt dem Anwender und Orientierung und Verlässlichkeit.