Trotz der steigenden Cyber-Gefahren tauschen sich Unternehmen kaum über IT-Security-Belange aus, so der Voice Verband der IT-Anwender e. V. Deshalb sei es schwierig, systematisch Best-Practice-Verfahren gegen aktuelle und künftige Bedrohungen zu entwickeln. Die von der Bundesregierung ins Leben gerufene "Cyber Allianz" sei eher langfristig angelegt.
Kurzfristige Abhilfe für seine Mitgliedsfirmen will Voice deshalb mit dem CSCC (Cyber Security Competence Center) schaffen. Es soll einen Warmstart hinlegen, denn es profitiert von den Erfahrungen der Special Interest Group "Risk, Security & Compliance", in der sich Voice-Mitglieder seit mehreren Jahren austauschen.
Drei konkrete Services
Das Voice CSCC beginnt im Juli zunächst mit zehn Mitgliedern. Der Aufbau ist in zwei Phasen geplant: Im laufenden Jahr geht es zunächst um einen praxisorientierten Erfahrungsaustausch. Der soll der um die Themen Self Assessment und Security Ticker sowie strukturierte Bedrohungs- und Risikoanalyse ergänzt werden soll um drei konkrete Services ergänzt werden: Self-Assessment, Security-Ticker sowie strukturierte Bedrohungs- und Risikoanalyse
Das Self Assessment dient der Bestimmung des jeweiligen Reifegrads. Im Untenrehmen. Die Teilnehmer können ihr Sicherheitsniveau mit anderen Unternehmen vergleichen und Handlungsfelder identifizieren sowie Best Practices entwickeln.
Unter dem "Security-Ticker" fasst Voice drei unterschiedliche Angebote zusammen: monatliche Lagebilder, wöchentliche Telefonferenzen und Ad-hoc-Informationen bei relevanten IT-Sicherheitsereignissen.
Die Bedrohungs- und Risikoanalyse umfasst die Bewertung der übergreifenden und branchenspezifischen Exponierungen. Ziel ist der Erfahrungsaustausch der VOICE-Mitglieder untereinander, um ein konsolidiertes Bild des Status quo zu zeichnen.
Zweite Phase im kommenden Jahr
Voraussichtlich Mitte 2015 steigt das CSCC in die zweite Phase ein. Dann sind konkrete Unterstützung bei der Krisenbewältigung, Benchmarks für gängige Security-KPIs, Informationen über Zukunftstechnologien sowie der Erfahrungsaustausch mit Beratern und Hackern geplant.
Generell verfolgt VOICE mit dem CSCC folgende Ziele:
Erhöhen der Handlungsfähigkeit im Security-Kontext;
genauere Bewertung konkreter Sicherheitsvorkehrungen hinsichtlich Angemessenheit und Wirksamkeit;
gesteigerte Fähigkeit zur Entwicklung unmittelbar wirksamer Verbesserungsmaßnahmen und Vorkehrungen;
Erstellen und Verbreiteneines generellen IT-Security-Lageberichts;
Angebot unternehmensübergreifender "Shared Services";
vertraulicher Austausch über generelle, konkrete und aktuelle Bedrohungslagen, Sicherheitslücken und wirksame Gegenmaßnahmen zwischen den beteiligten Unternehmen;
kontinuierliche Entwicklung des IT-Security-Managements.