Am wöchentlichen CIO-Erfahrungsaustausch #CIOea am 19. Januar nahmen rund 90 IT- und Digitalentscheider aus der Anwenderszene teil. Eines der 3 Schwerpunktthemen des Abends waren die Neuigkeiten aus dem Bundesamt für Informationssicherheit (BSI). Über sie informierte BSI-Vizepräsident Dr. Gerhard Schabhüser. Zunächst ging er auf die möglichen Auswirkungen der Aussagen ein, die die Ampelparteien in ihrem Koalitionsvertrag über IT-Sicherheit im Allgemeinen und den BSI im Besonderen formuliert hatten. Besonders folgender Satz gibt den BSI-Verantwortlichen zu denken: „Wir leiten einen strukturellen Umbau der IT-Sicherheitsarchitektur ein, stellen das Bundesamt für Sicherheit in der Informationstechnik (BSI) unabhängiger auf und bauen es als zentrale Stelle im Bereich IT-Sicherheit aus.“
Daraus leitet Schabhüser die Aussicht auf mehr Verantwortung für seine Behörde ab und eventuell mehr Einfluss auf die Security-Politik der Bundesländer. Letzteres sei zwar aufgrund der föderalen Struktur Deutschlands schwierig, aber eine engere Abstimmung mit den Ländern sei wünschenswert und wichtig. Weitere Aussagen im Koalitionsvertrag wie die Haftung von Softwareanbietern für fahrlässig verursachte Schäden bei Anwendern findet er ebenfalls richtig. Noch wichtiger wäre ihm eine Cyberquote. Mit ihr ließen sich Unternehmen verpflichten einen bestimmen Prozentsatz ihrer IT-Ausgaben für Cybersecurity auszugeben.
Cyberquote von 10 bis 20 Prozent
Er hält 10 bis 15 Prozent, bei KRITIS-Unternehmen sogar 20 Prozent, für angemessen. Den Einwand von VOICE-Vize @Dr. Hans-Joachim Popp, man solle besser Softwareanbieter dazu verpflichten, einen solchen Prozentsatz ihrer Entwicklungsausgaben für höhere Softwarequalität einzusetzen, ließ Schabhüser zwar gelten. Aber er entgegnete, das allein reiche nicht aus, man müsse auch die Anwenderunternehmen in die Pflicht nehmen. Am Schluss seines Vortrags warb der BSI-Mann noch für den Sicherheitskongress seines Hauses, der am 1. und 2 Februar virtuell stattfindet. Interessierte können sich hier anmelden.
Wiper-Angriff auf die Ukraine
Im VOICE Security-Update beschäftigte sich Security-Spezialist Dirk Ockel unter anderem mit den Cyberangriffen auf die Ukraine, hinter denen Experten russische Stellen vermuten. Einer Analyse des Microsoft Threat Intelligence Center handelt es sich dabei um Wiper-Ware, die Dateien in den befallenen Systemen überschreibt. Außerdem macht er aufmerksam auf die 497 Sicherheitsupdates, mit denen Oracle diverse teilweise kritische Sicherheitslücken im Januar schließen musste.
In Sachen #Log4j stellte Ockel verschiedene Lösungsvorschläge vor, um derartige Schwachstellen in Opensource-Software in Zukunft zu verhindern bzw. ihre Auswirkungen zu minimieren. Einer davon lautet: Öffentliche Zertifizierungen etwa durch Behörden (Quality of Code) und Haftungsmöglichkeiten bei Fahrlässigkeit (siehe Bild).
Die Cloud-Angebote der großen Software-Player
Stefanie Riesebeck, die für das VOICE Observer Competence Center (VOCC) als Lizenz- und Policy-Expertin arbeitet, erläuterte die aktuelle Marktpositionierung und Lizenzpolitik der Anbieter IBM, Microsoft, SAP und Oracle in Sachen Cloud. Sie zieht das Fazit, dass Microsoft unter ihnen zurzeit der mit Abstand wachstumsstärkste Player ist. SAP liege auf Platz 2. Bei den Walldorfern habe sich das Wachstum allerdings abgeschwächt. IBM liege abgeschlagen auf dem 4 Rang und auch Oracle tue sich im Cloudbereich schwer.
Microsoft erhöht die Preise
In der anschließenden Diskussion wurde vor Preiserhöhungen von Microsoft gewarnt, das wohl ab März eine Erhöhung der Preise von 15 – 20 Prozent durchsetzen will. Teilnehmer berichteten, dass Microsoft zurzeit jedenfalls keine vorgezogenen Vertragsverlängerungen akzeptieren. Mit solchen vorgezogenen Abschlüsssen versuchen Anwender kommende Preiserhöhung zu umgehen. Das SAP Cloud-Promotion Programm „Rise with SAP“ diskutierten die CIOs sehr lebhaft. Teilnehmer forderten Kolleginnen und Kollegen dazu auf, einen Einstieg in dieses Programm in Bezug auf eine erhöhte Abhängigkeit von SAP und auf die Regeln für die Einhaltung von Vertraulichkeit zu prüfen.