VOICE richtet Cyber Security Competence Center ein

Angesichts der sich weiter zuspitzenden Bedrohungslage hat sich VOICE Verband der IT-Anwender e.V. entschlossen, ein eigenes, herstellerunabhängiges Cyber Security Competence Center einzurichten und seinen Mitgliedsfirmen als Service anzubieten. Der Start ist für Juli dieses Jahres geplant.

Die Sicherheitsrisiken der Unternehmen in Deutschland wachsen aufgrund der zunehmenden weltweiten Vernetzung und der Durchdringung aller Produktions- und Lebensbereiche mit IT. Dabei unterscheidet sich die Risiko-Exponierung der Unternehmen je nach Branche, Geschäftsmodell und Marktpräsenz. Gefährdet sind wettbewerbsrelevante Informationen und IT-Infrastrukturen. Die unternehmensübergreifende Vernetzung von Fertigungs- und Logistikprozessen über das Internet (Industrie 4.0) sowie die direkte Kommunikation zwischen Maschinen (machine to machine) erhöhen das Risiko für Unternehmen zusätzlich, Opfer von Sabotage und Ausspähung zu werden. [Die Leistungen des Cyber Security Competence Centers]

Trotz der deutlich steigenden Cyber-Gefahren tauschen sich Unternehmen zu wenig offen über IT-Security-Belange aus und können deshalb kaum systematisch Best-Practice-Verfahren gegen aktuelle und künftige Bedrohungen entwickeln. Die offene Kommunikation über Security-Vorfälle leidet vor allem unter den Reputationsschäden, die den Unternehmen im Schadensfall drohen. Auch die von der Bundesregierung ins Leben gerufene Initiative „Cyber Allianz“, die für mehr Transparenz und Vernetzung der Betroffenen sorgen soll, dürfte eher langfristig greifen und die allgemeine Cyber-Security erhöhen.

Wegen der zunehmenden Risiken wollen die meisten VOICE-Mitgliedsunternehmen ihr IT-Sicherheitsniveau verbessern. Allerdings laufen sie aufgrund des fehlenden Austausches mit anderen Unternehmen Gefahr, sich finanziell, personell oder vom Know-how her zu überfordern.

Vor diesem Hintergrund hat VOICE die Initiative ergriffen und das Cyber Security Competence Center (CSCC) ins Leben gerufen, das von Beginn an von den Erfahrungen der Special Interest Group „Risk, Security & Compliance“ profitieren kann, in der sich VOICE-Mitglieder seit mehreren Jahren austauschen. Das VOICE CSCC startet im Juli zunächst mit zehn Mitgliedern.

Der Aufbau des Competence Centers erfolgt in zwei Phasen. In diesem Jahr soll es in erster Linie um einen praxisorientierten konkreten Erfahrungsaustausch gehen, der um die drei Services Self Assessment, Security Ticker sowie eine strukturierte Bedrohungs- und Risikoanalyse ergänzt wird.

Die drei Services im Überblick:

  • Self Assessment: Bestimmung des eigenen Reifegrades mit dem Ziel, die Diskussion im Teilnehmerkreis auf Basis der Ergebnisse fortzusetzen und in Richtung Best Practice weiterzuentwickeln. So werden ein Vergleich des Sicherheitsniveaus mit anderen Unternehmen und die Identifikation von Handlungsfeldern möglich.
  • „Security-Ticker“: Monatliches Lagebild, wöchentliche Telefonkonferenz und ad-hoc-Informationen bei relevanten IT-Sicherheitsereignissen.
  • Strukturierte Bedrohungs- und Risikoanalyse: Bewertung der übergreifenden und branchenspezifischen Exponierungen, mit dem Ziel, in den einzelnen Unternehmen und im gemeinsamen Erfahrungsaustausch ein konsolidiertes Bild zu erzeugen.
  • Für die 2. Phase, etwa ab Mitte kommenden Jahres, sind weitere Leistungen wie konkrete Unterstützung bei der Krisenbewältigung, Benchmarks für gängige Security KPIs, Informationen über Zukunftstechnologien sowie der regelmäßige Erfahrungsaustausch mit externen Beratern und Hackern geplant.
  • VOICE verfolgt mit dem CSCC folgende Ziele:
  • Erhöhen der Handlungsfähigkeit im Security-Kontext;
  • genauere Bewertung konkreter Sicherheitsvorkehrungen hinsichtlich Angemessenheit und Wirksamkeit;
  • erhöhte Fähigkeit zur Entwicklung unmittelbar wirksamer Verbesserungsmaßnahmen und Vorkehrungen;
  • Bereitstellung eines generellen IT-Security-Lageberichts;
  • Bereitstellung unternehmensübergreifender „Shared Services“;
  • vertraulicher Austausch über generelle, konkrete und aktuelle Bedrohungslagen, Sicherheitslücken und wirksame Gegenmaßnahmen zwischen den beteiligten Unternehmen;
  • o kontinuierliche Entwicklung des IT-Security-Managements.