Es ist Frühjahr 2010 und die mediale Berichterstattung wird vom Thema Ankauf von Daten der CS- Steuer-CD eingenommen. Die Dynamik der Ereignisse macht aus einer ursprünglichen Randnotiz in den Zeitungen schnell ein Titelseitenthema und löst bei der deutschen Finanzverwaltung ungläubiges Staunen, Kopfschütteln, dann Widerspruch und schließlich zustimmendes, zufriedenes Händereiben aus. Das Ganze unter einer sich aufbäumenden Welle – sogenannter – Selbstanzeigen.
Die Eidgenossen haben zum zweiten mal in drei Jahren ein staatstragendes Problem. Sie brauchen einen überführten Täter und sehen ihre landesweite „Unique-Selling-Proposition“ - die Diskretion des Bankensystems und dessen internationale Reputation - am Abgrund. Doch irgendwie scheint die Beutestück CD sich verselbständigt zu haben und taucht unvermittelt plötzlich – in der „Bin-schon-da-Manier“ aus der berühmten Igel-Hase- Fabel - auf. Viele Signale deutet auf ein konspiratives Umfeld. Wer mischt da mit?
Der Vortrag geht der Frage nach: wo liegen die Grenzen der IT- Sicherheitsarchitektur? Er ist somit an Sicherheitsverantwortliche CISO, CSO aber auch an GRC Entscheider gerichtet und zeigt die Notwendigkeit für den „Blick über den Tellerrand“ ausgefeilter Security Technologien auf. Ist das konspirative Umfeld überhaupt eine mögliche Option? Es werden die Schwachstellen von 'Governance and Compliance' ins Visier genommen. Die Antwort darf jeder Teilnehmer für sich selbst ermitteln.
Vergleichbar der Vorgehensweise eines Profilers werden Reflektionen der Ereignisse aufgezeigt, die den systemischen Blick auf die „Relative Wirksamkeit“ von Security Massnahmen lenken. Hierbei wird versucht den hypothetischen Weg der Daten-CD rückwärts zu gehen. Aber nicht nur das! Über „Reverse Profiling“ werden Vergleiche zu dem bekannten „2014-er SONY Hack“ bis hin zum jüngsten „Panama Papers Leak“ gezogen. Verschiedene hypothetische Ansätze zeigen im Kern das Muster eines Psychogramms auf. Doch ist dieses typisch genug um dem Selbstverständnis von Unternehmens-Security hinreichende Orientierung zu geben? Es verbleibt ein Widerspruch zum Anspruch des Privatschutzes (Privacy) im Raum stehen: Cyber Führung bedarf der Orientierung – und – Orientierung bedarf der Aufklärung. Wer hat recht - und wer hat das Recht?
Bernd J. Hobrack ist diplomierter Mathematiker und Generalist im IT-Consulting im klassischen Sinne. Gereift ist er in der Reinkultur der Unix Welt bei Siemens, München an Multi-Prozessor Testtreiber Systemen unter dem Einfluß von awk, bash und C. Nach Positionen und mehreren Projekten in der Finanzbranche (vom IT-Direktionsassistent bis zum Freelancer im PM) übernahm er ab 2004 eine Führungsposition im mittleren Kader der Credit Suisse, Zürich. Für die Hochsicherheits- Plattform JAP formte er ein Consulting Team als 'Think Tank' und Drehscheibe zwischen SLA's, Infrastructure and Incident- Management. Mit im Fokus stand das Applications Lifecycle Management unter stringenter Anwendung der GRC (Governance Risk Compliance).
Noch heute sagt er: „die IT- Security der CS Plattform war technologische Spitze und absolut führend und verdient nach wie vor ein Sicherheits-Prädikat“. Dennoch: mit dem offenkundig aufgetretenen Fall der 'Steuerdaten- CD' – mit der anonym CS-Kundendaten zum Kauf angeboten wurden - begann auch die Drehscheibe 'JAP Consulting' dynamisch Fliehkräfte freizusetzen.
Seither ist er als freier IT Security Consultant tätig und befaßt sich intensiv mit tiefgreifenden, analytischen Fragen der IT- Security und deren 'Evidence'. Mit der Methodik „Reverse Profiling“ vermittelt er nachhaltige Hypothesen für zielgerichtetes Vorgehen in der Cyber Forensik. Dabei kombiniert er mit mathematisch, analytischem Gespür, technische Expertise mit investigativem Hintergrund zum Erklärungsansatz. Erste Ergebnisse reverser Fallanalytik zeigen: „Security in a Nutshell“ gibt es nicht. Die Vermittlung der relevanten Sicht auf die 'Risks' – gemeinhin um (COBIT) Orientierung zu erlangen – macht er zu einer strategischen Frage.