Cyber Security Competence Center

Voice richtet ein unabhängiges Cyber Security Competence Center ein

Karin Quack arbeitet als freie Autorin und Editorial Consultant vor allem zu IT-strategische und Innovations-Themen. Zuvor war sie viele Jahre lang in leitender redaktioneller Position bei der COMPUTERWOCHE tätig.
Das Thema Sicherheit beschäftigt alle IT-Verantwortlichen. Darüber zu reden fällt ihnen jedoch schwer – vor allem, weil sie um die Reputation des Unternehmens fürchten. Der IT-Anwenderverband Voice will hier helfen.

Trotz der steigenden Cyber-Gefahren tauschen sich Unternehmen kaum über IT-Security-Belange aus, so der Voice Verband der IT-Anwender e. V. Deshalb sei es schwierig, systematisch Best-Practice-Verfahren gegen aktuelle und künftige Bedrohungen zu entwickeln. Die von der Bundesregierung ins Leben gerufene "Cyber Allianz" sei eher langfristig angelegt.

Kurzfristige Abhilfe für seine Mitgliedsfirmen will Voice deshalb mit dem CSCC (Cyber Security Competence Center) schaffen. Es soll einen Warmstart hinlegen, denn es profitiert von den Erfahrungen der Special Interest Group "Risk, Security & Compliance", in der sich Voice-Mitglieder seit mehreren Jahren austauschen.

Foto: Voice

Drei konkrete Services

Das Voice CSCC beginnt im Juli zunächst mit zehn Mitgliedern. Der Aufbau ist in zwei Phasen geplant: Im laufenden Jahr geht es zunächst um einen praxisorientierten Erfahrungsaustausch. Der soll der um die Themen Self Assessment und Security Ticker sowie strukturierte Bedrohungs- und Risikoanalyse ergänzt werden soll um drei konkrete Services ergänzt werden: Self-Assessment, Security-Ticker sowie strukturierte Bedrohungs- und Risikoanalyse

Das Self Assessment dient der Bestimmung des jeweiligen Reifegrads. Im Untenrehmen. Die Teilnehmer können ihr Sicherheitsniveau mit anderen Unternehmen vergleichen und Handlungsfelder identifizieren sowie Best Practices entwickeln.

Unter dem "Security-Ticker" fasst Voice drei unterschiedliche Angebote zusammen: monatliche Lagebilder, wöchent­liche Telefonferenzen und Ad-hoc-Informationen bei relevanten IT-Sicherheitsereignissen.

Die Bedrohungs- und Risikoanalyse umfasst die Bewertung der übergreifenden und branchenspezifischen Exponierungen. Ziel ist der Erfahrungsaustausch der VOICE-Mitglieder untereinander, um ein konsolidiertes Bild des Status quo zu zeichnen.

Zweite Phase im kommenden Jahr

Voraussichtlich Mitte 2015 steigt das CSCC in die zweite Phase ein. Dann sind konkrete Unterstützung bei der Krisenbewältigung, Benchmarks für gängige Security-KPIs, Informationen über Zukunftstechnologien sowie der Erfahrungsaustausch mit Beratern und Hackern geplant.

Generell verfolgt VOICE mit dem CSCC folgende Ziele:

  • Erhöhen der Handlungsfähigkeit im Security-Kontext;

  • genauere Bewertung konkreter Sicherheitsvorkehrungen hinsichtlich Angemessenheit und Wirksamkeit;

  • gesteigerte Fähigkeit zur Entwicklung unmittelbar wirksamer Verbesserungsmaßnahmen und Vorkehrungen;

  • Erstellen und Verbreiteneines generellen IT-Security-Lageberichts;

  • Angebot unternehmensübergreifender "Shared Services";

  • vertraulicher Austausch über generelle, konkrete und aktuelle Bedrohungslagen, Sicherheitslücken und wirksame Gegenmaßnahmen zwischen den beteiligten Unternehmen;

  • kontinuierliche Entwicklung des IT-Security-Managements.