Neues Audit-Prüfthema seit dem Microsoft-Schlüssel-Hack – IT-Diagnose-Daten als Sicherheits- und Compliance-Risiko

Seit dem Hack eines Microsoft-Master-Keys aus einem Crash-Dump im Mai 2023 ist es evident: IT-Diagnose-Daten, in falschen Händen, stellen eine Sicherheitslücke und ein Compliance-Risiko dar. Sie dienen der Fehleranalyse, und jede operative IT erzeugt sie fortlaufend und schickt sie zum Hersteller. In Dumps, Logs und Traces befinden sich neben technischen Daten große Mengen an Security-Informationen, Firmengeheimnissen und personenbezogenen Daten. Diese können, wie bei Microsoft geschehen, gestohlen und für Cyberangriffe missbraucht werden. Die Schutzbedürftigkeit dieser sensiblen Daten erfordert die Aufmerksamkeit des IT-Audits, der Cyberversicherung sowie Maßnahmen wie die Anonymisierung.

Lernziele

Risikorealisierung
Worin liegt das IT-Sicherheitsrisiko bei IT-Diagnose-Daten und wie realisiert es sich?
Wodurch entsteht das Datenschutzrisiko bei Dumps, Logs und Traces?

Lösungen zur Eliminierung des Risikos
Wie kann man die sensiblen Daten in IT-Diagnose-Dateien vor Zugriff und Missbrauch schützen?

Prüfkatalog für das IT-Audit
Welche Fragen sollte man bei der Prüfung des IT-Betriebs zum gesetzeskonformen Umgang mit IT-Diagnose-Daten stellen?

Speaker

 

Stephen Fedtke
Stephen Fedtke ist Chief Technology Officer (CTO) von ENTERPRISE-IT-SECURITY.COM, ein auf IT-Sicherheit und Compliance-Lösungen spezialisierter Dienstleistungsbereich des Schweizer Unternehmens Dr. Stephen Fedtke System Software mit Sitz in Zug. Als Co-Founder dieses IT-Lösungs-Providers ist er seit 20 Jahren für die Entwicklung und Implementierung hochinnovativer und zuverlässiger Technologien verantwortlich. Dr. Fedtke ist Wirtschaftsingenieur, Bereich Elektrotechnik. Er ist Autor und Herausgeber zahlreicher Fachbücher im Bereich Informationstechnologie, IT-Sicherheit und Compliance im Springer Vieweg Verlag. (Publikationsliste: https://www.enterprise-it-security.com/dr-stephen-fedtke-list-of-publications/ )

IT-GRC-Kongress Newsletter

Ihr möchtet über den IT-GRC-Kongress
auf dem Laufenden gehalten werden?

 

Anmelden