Home arrow Gewinner 2010
Gewinner 2010 PDF  | Drucken |  E-Mail
23. Oktober 2010

Verleihung der it security Awards 2010 

Deutsche Bank AG, Deutsche Telekom AG mit dem Partner Lions Head GmbH undSecude IT Security GmbH wurden für hervorragende IT-Security-Projekte ausgezeichnet.

it-security-award-2010-preistraeger.jpg

v.l.n.r.: Dr. Marc Hofmann, Deutsche Bank AG; Anton Slawik, Lions Head GmbH; Carolin Pfeil, Deutsche Bank AG; Ulrich Parthier, Herausgeber it security, und Markus Nüsseler, Secude IT Security GmbH.

Die Deutsche Bank AG wurde vom it verlag am 19. Oktober 2010 auf der it-sa in Nürnberg gleich zweimal aufgrund eindeutiger Ergebnisse der Jury ausgezeichnet. Für das Projekt „dbRACE“ nahm sie in der Kategorie „Management Security“ den it security Award in Empfang und in der Kategorie „Identity & Access Management“ für das Projekt „Gatekeeper“. Die Deutsche Telekom AG und ihr Partner Lions Head GmbH freuten sich über die Anerkennung in der Kategorie „Web/Internet Security“. Als Innovation des Jahres zeichnete die Jury das Produkt „Security Intelligence“ von der SECUDE IT Security GmbH aus.

Eine hochkarätige, zehnköpfige Jury wählte die besten Projekte in den Kategorien Management Security, Web/Internet Security und Identity und Access Management sowie die Innovation des Jahres aus. Nun stehen die Preisträger der vier it security Awards 2010 fest:

1) Kategorie Management Security:
Deutsche Bank AG, Abteilung IT Security Governance, Projekt „dbRACE“

Bei dbRACE handelt es sich um eine Assessment-Methode und die dazugehörige Toolumsetzung für das Risk Assessment und die Compliance-Evaluierung von IT-Assests (Applikationen und Infrastrukturen). Die Assessment-Intensität und die Kontrollanforderungen werden am Business Risk der Assets ausgerichtet. Die Methodik folgt dem Grundschutzgedanken des BSI und implementiert wesentliche Teile der ISO/IEC 27001:2005.
mehr über das Projekt

2) Kategorie Web/Internet Security:
Deutsche Telekom AG und Lions Head GmbH für das Projekt „Rapid Security Check“

Ausgezeichnet wurde das Projekt „Rapid Security Check“, mit dem der  Fachbereich Rechnungswesen, Controlling und IT-Finanzen (RCI) der Deutsche Telekom AG schnell den Sicherheitsstatus von Applikationen ermitteln, notwendige organisatorische und technische Maßnahmen zur Reduktion von Schwachstellen identifizieren und einen kontinuierlichen Security-Prozess etablieren konnte.
mehr über das Projekt


3) Kategory Identity & Access Management:
Deutsche Bank AG, Abteilung Identity and Access Governance, Projekt „Gatekeeper“

Die Deutsche Bank suchte nach einem effizienten Weg, um die globalen Rechte ihrer Mitarbeiter zu kritischen Anwendungen und Systemen regelmäßig zu zertifizieren. Die Herausforderung bei der Lösungsfindung lag nicht nur in den Volumina und den verschiedenen regulatorischen Anforderungen, sondern auch in der Verteilung der betroffenen Mitarbeiter und den IT-Ressourcen über zahlreiche Länder, Zeitzonen und Sprachräume hinweg.
mehr über das Projekt


4) Innovation des Jahres:
SECUDE IT Security GmbH für Security Intelligence, eine Lösung für das Security Information und Event Management

SECUDE Security Intelligence ist der Kategorie der SIEM-Lösungen zuzuordnen (Security Information and Event Management) und dient dabei im aktuellen Status als Vorstufe für die eigentlichen SIEM-Systeme. SIEM umfasst Produkte, die auf die Analyse von Ereignissen aus unterschiedlichen sicherheitsrelevanten Zielsystemen ausgerichtet sind. Die Ereignisse werden dabei nach unterschiedlichen Kriterien gefiltert, korreliert und aufbereitet, um sicherheits- und compliance-relevante Ereignisse erkennen, anzeigen und weiter bearbeiten zu können.
mehr über das Projekt 

it security Award 2010: Management Security
Deutsche Bank AG, Abteilung IT Security Governance, Projekt „dbRACE“

 

marc_hofmann.jpg
Dr. Marc Hofmann, IS Rules & Risk Management, Deutsche Bank AG, nahm den it security Award 2010 in der Kategorie Management Security für das Projekt dbRACE entgegen.

 

Bei dbRACE handelt es sich um eine Assessment-Methode und die dazugehörige Toolumsetzung für das Risk Assesment und die Complinace-Evaluierung von IT-Assests (Applikationen und Infrastrukturen). Die Assessment-Intensität und die Kontrollanforderungen werden am Business Risk der Assets ausgerichtet. Die Methodik folgt dem Grundschutzgedanken des BSI und implementiert wesentliche Teile der ISO/IEC 27001:2005.

Ausgangssituation:
Das Problem lag in der fehlenden Transparenz über Risiko und Compliance der etwa 5000 IT-Assests. Der vorherige Ansatz war zu komplex und arbeitsintensiv und nicht Risiko-, sondern Compliance-getrieben.

Zieldefinition:
Der Ansatz soll das Business Risk in Assessment-Intensität und Kontrollanforderungen berücksichtigen. Etwa 370 Control Requirements der DeutschenBank, abgebildet auf die ISO Control Objectives werden unterstützt. Der Prozess ist in das ISMS der Deutschen Bank integriert.

Risikoanalyse:
Die Berücksichtigung der Implementierbarkeit und die Akzeptanz der neuen Methodik sowie die Gewährleistung eines zeitnahen, nahtlosen Übergangs zur neuen Methodik unter Abarbeitung bisher entdeckter Kontrollschwächen in den IT-Systemen wurden als Risiko eingestuft.

Business Values:
Das Risikoprofil und die Transparenz über die Compliance aller IT-Assets der Deutschen Bank liegen nun vor. Der Assessment-Aufwand wurde reduziert, die Kontrollanforderungen am Risikoprofil ausgerichtet. Die ISO Control Objectives schaffen Vergleichbarkeit etwa bei Control Maturity Benchmarks.

Umsetzungsstrategie/-prozesse:
dbRACE verfügt über ein risikogetriebenes Assessment Lifecycle Management. Die Gültigkeitsdauer eines Assessments kann bis zu drei Jahren betragen. Den Workload in den Geschäftsbereichen berücksichtigend wurde für eine Gleichverteilung der Last über die nächsten Jahre gesorgt.

Mitarbeiterbeteiligung:
Es erfolgten zentral gesteuerte Schulungen nach dem Multiplikatoren-Prinzip, vorrangig für die IS betroffenen Rolleninhaber. Mehrere Workshops (Classroom und Webcast) mit der Einführung, danach monatlich fortlaufend. Zudem existiert eine umfangreiche Online-Dokumentation.

TCO/ROI/Budget:
Das Projektbudget umfasste rund 1,5 Millionen Euro. Die  Einsparung von Zeitaufwand für die Assessments von rund 5000 IT Assets beträgt rund 1200 Personentage pro Jahr. Das Projekt erstreckte sich von 2008 bis Frühjahr 2010.

it security Award 2010: Web/Internet Security
Deutsche Telekom AG mit Lions Head GmbH, Projekt „Rapid Security Check“

anton_slawik.jpg

Anton Slawik, Principal, Lions Head GmbH, nahm den it security Award 2010 in der Kategorie Web/Internet Security für das Projekt Rapid Security Check bei der Deutschen Telekom AG  entgegen.

 

Bei dem Projekt ging es um die Ermittlung des Sicherheitsstatus aller Applikationen und Securityprozesse im Fachbereich RCI (Rechnungswesen, Controlling, IT-Finanzen) der DTAG. Ziel war die Identifizierung und Bewertung der notwendigen organisatorischen und technischen Maßnahmen zur Reduktion von Schwachstellen und Risiken, die Freigabe für alle Applikationen durch die Konzernsicherheit, ein Prozess-, abteilungs- und applikationsübergreifender Vergleich der Security-Reifegrade sowie die Etablierung eines kontinuierlichen Securityprozesses innerhalb des RCI.

Ausgangssituation:
Im Bereich Rechnungswesen, Controlling und IT-Finanzen der DTAG werden die (inter-)nationalen bilanzrechtlichen Regelungen umgesetzt. RCI stellt hierfür IT-Systeme, Richtlinien und Instrumente bereit und schafft wesentliche Voraussetzungen für eine Steuerung innerhalb von GHS/RCI.

Zieldefinition:
Im Rahmen einer Schwachstellenanalyse sind mittels des Rapid Securityx Checks anhand einer standardisierten Vorgehensweise innerhalb von RCI die Top-25 Applikationen auditiert
und gemäß den konzernweiten und gesetzlichen Anforderungen überprüft worden.

Risikoanalyse:
Jede Applikation wurde anhand eines standardisierten Verfahrens gemäß den Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität bewertet. Hierbei wurde mit Hilfe eines Standardkatalogs die Bedeutung für das Unternehmen hinsichtlich der sicherheitsrelevanten Anforderungen überprüft.

Business Values:
Als Mehrwert und Nutzen konnte die Transparenz und Sicherheit der fachlichen Prozesse gesteigert werden, die Compliance mit konzernweiten und gesetzlichen Anforderungen konnte erhöht werden. In der Außenwirkung konnte das Image des Konzerns verbessert werden.

Umsetzungsstrategie/-prozesse:
Als Pilotprojekt wurden zunächst 3 Applikationen und anschließend die Top 25 Finanzapplikationen des Bereichs RCI in Hinblick auf organisatorische Reife, Kategorisierung von IT-Security und Datenschutz, Statements of Complience, Risikoklassifikation und Risikoniveau überprüft.

Mitarbeiterbeteiligung:
Es gab insgesamt 50 Projektbeteiligte, siebenAuditoren kamen zum Einsatz, die mit allen Fachbereichen von RCI die Überprüfung durchgeführt haben. Im gesamten Auditierungsprozesses fand ein Knowhow-Transfer statt, bei dem die Awareness und das Verständnis der Befragten gesteigert wurde.

Technische Umsetzung:
Auf Basis eines „Best-of-Breed“-Ansatzes wurde ein Verfahren entwickelt, um standardisiert die Applikationslandschaften zu überprüfen. Hierzu wurde ein Excel-Assessment-Tool programmiert, welches das Vorgehensmodell abgebildet hat und vorgegebene Antwortmöglichkeiten zur Verfügung stellte.

TCO/ROI/Budget:
Das Gesamtbudget für die Überprüfung der Top-25-Applikationen lag bei etwa einer Million Euro, es gab keinerlei Vorgaben oder Auswertungen hinsichtlich des ROI. Die projektdauer betrug rund sieben Monate.

Projektabschnitte/Meilensteine:
Als Meilensteine wurden festgelegt: Ermittlung des Sicherheitsstatus aller Applikationen; Bewertung der notwendigen organisatorischen & technischen Maßnahmen zur Reduktion von Schwachstellen und Risiken; Freigabe für alle Applikationen durch die Konzernsicherheit sowie Etablierung eines kontinuierlichen Security-Prozesses.

it security Award 2010: Identity & Access Management
Deutsche Bank AG, Abteilung Identity and Access Governance, Projekt „Gatekeeper“

caroliln_pfeil.jpg

Carolin Pfeil, Head Identity and Access Governance, Deutsche Bank AG, nahm den it security Award 2010 in der Kategorie Identity and Access Management für das Projekt Gatekeeper entgegen.

 

Die Deutsche Bank suchte nach einem effizienten Weg, um die globalen Rechte ihrer Mitarbeiter zu kritischen Anwendungen und Systemen regelmäßig zu zertifizieren. Die Herausforderung bei der Lösungsfindung lag nicht nur in den Volumina und den verschiedenen regulatorischen Anforderungen, sondern auch in der Verteilung der betroffenen Mitarbeiter und den IT-Ressourcen über zahlreiche Länder, Zeitzonen und Sprachräume hinweg.

Ausgangssituation:
Die bestehenden Prozesse waren auf einzelne Anwendungen fokussiert (application centric view). Für den Rezertifizierer bedeutet dies neben uneinheitlichen Standards/Prozessen das Fehlen eines konsolidierten Überblicks über die Rechte der Mitarbeiter in einer globalen Organisation.

Zieldefinition:
Ziel war die Schaffung einer zentralen Sicht auf die Zugriffsrechte aller Mitarbeiter (user centric view), der Implementierung einer globalen standardisierten Rezertifizierung für hunderte von Anwendungen und die effiziente Verwaltung der dazugehörigen Millionen von Rechten.

Risikoanalyse:
Die Risiken waren regulatorischer und prozessualer Natur. Die Einhaltung von internen sowie externen Richtlinien war zeitgerecht sicherzustellen. Die hohe Anzahl der involvieren Nutzer sowie der global Roll out erforderten eine genaue Planung aller Abhängigkeiten und Prozessschritte.

Business Values:
Neben der Erfüllung regulatorischer Auflagen wie SOx führt der neue Ansatz zu einer Reduzierung des Arbeitsaufwandes und einem nutzerfreundlicheren Rezertifizierungsprozess.

Umsetzungsstrategie/-prozesse:
Der Erfolg des zentral gesteuerten Prozesses liegt in der Unterstützung durch eine globale Information Security-Organisation. Klare Verantwortlichkeiten auf der IT- und Geschäftsbereichsseite sind unerlässlich. Schlüsselrollen nehmen die Business Information Security Officers ein.

Mitarbeiterbeteiligung:
13.000 involvierte Mitarbeiter weltweit erfordern einen ganzheitlichen Ansatz für Kommunikation/Schulung/Support.

Technische Umsetzung:
Ohne Toolumsetzung keine weitgehende Automatisierung und Standardisierung, zum Einsatz kam der Aveksa Compliance Manager.

Dauer des Projektes:
Der Start erfolgte 2008, in 2010 wurde das Pilotprojekt durchgeführt, derzeit laufen die Vorbereitungen für den Regelbetrieb.

it security Award 2010: Innovation des Jahres
SECUDE Security Intelligence

markus_nuesseler.jpg

 

Markus Nüsseler, Senior Engineer, nahm den it security Award 2010 in der Kategorie Innovation des Jahres für das Produkt Security Intelligence entgegen.

 

SECUDE Security Intelligence ist der Kategorie der SIEM-Lösungen zuzuordnen (Security Information and Event Management) und dient dabei im aktuellen Status als Vorstufe für die eigentlichen SIEM-Systeme. SIEM umfasst Produkte, die auf die Analyse von Ereignissen aus unterschiedlichen sicherheitsrelevanten Zielsystemen ausgerichtet sind. Die Ereignisse werden dabei nach unterschiedlichen Kriterien gefiltert, korreliert und aufbereitet, um sicherheits- und compliance-relevante Ereignisse erkennen, anzeigen und weiter bearbeiten zu können.

Die Zielsetzung ist eine effiziente Aufbereitung von großen Mengen an Log- und Event-Daten, die von den Systemen in Unternehmen generiert werden, um daraus die relevanten und manuell oder automatisiert zu bearbeitenden kritischen Ereignisse zu filtern. Zusätzlich unterstützen SIEM-Systeme typischerweise eine umfassende Protokollierung solche Informationen und damit auch historische und forensische Analysen. Die SIEM-Systeme sind dabei auf eine korrekte, umfassende und differenzierte Lieferung von Informationen aus den Zielsystemen angewiesen, um diese Ereignisse so aufbereiten zu können, dass die kritischen Ereignisse erkannt werden. Hier setzt SECUDE Security Intelligence an. Technisch gesehen arbeitet das Produkt als Schicht zwischen den verschiedenen Protokollen und Systemen im SAP-Umfeld mit SIEM-relevanten (Security Information and Event Management) Informationen auf der einen Seite und konsumierenden Systemen auf der anderen Seite.

Über eine zentrale Schicht können die Informationsquellen in SAP-Systemen angebunden werden. Auf diesen Server können auf der anderen Seite konsumierende Komponenten zugreifen, die die entsprechenden Informationen empfangen. Das System liefert signifikant mehr und wertigere Informationen als typische Anbindungen von SIEM-Produkten. Dabei wird auf eine modulare, flexible Architektur gesetzt, die deutlich mehr Nutzen liefern kann als proprietäre Schnittstellen für ein einzelnes SIEM-System.

Stärken des Produkts:

  • Architektur für die Bereitstellung von Informationen aus SAP-Umgebungen.
  • Integration von Informationen aus unterschiedlichen Logs, Tabellen und anderen Quellen in verteilten SAP-Systemen
  • Integrierte Informationsbereitstellung für SIEM-Systeme.
  • Roadmap für Weiterentwicklungen.
  • Anbindung an SIEM-Lösungen von ArcSight und RSA vorbereitet, Anbindung weiterer SIEM-Systeme möglich

 

 
[ Zurück ]