Projekte sind interessant und sichern die Einnahmen. Fortbildung ist allerdings auch wichtig ebenso wie der Austausch mit Kollegen. Gute Gelegenheit dafür bot der (ISC)² EMEA-Kongress in München. Zum Teil drei parallele Tracks boten genug Auswahl an Themen und Vorträgen. Der Unterhaltungswert kam bei manchen Präsentationen definitiv nicht zu kurz. Wenngleich ich öfter inhaltlich nicht unbedingt etwas Neues erfahren habe, so waren die Vortragsstile und die Folien-/Videogestaltungen das eine oder andere hervorragende Beispiel für gelungene Security-Awareness.

Wie schon beim Treffen in Zürich gibt es ein paar rote Fäden, die sich durch alle Vorträge ziehen. Einer davon ist die Unterteilung von Sicherheitsmaßnahmen in die Kategorien prevent, detect und response. Diese Kategorisierung eignet sich sehr gut für die Maßnahmensteuerung und somit auch als verständliches Mittel für Managementberichte. Meiner Meinung nach ist dies schon als good practice zu sehen. Apropos Berichte und Verständnis: es gibt ein tolles Projekt zur Sammlung von Analogien (https://theanalogiesproject.org/). Sicherheitsverantwortliche sollten sich den Link ganz oben in ihre Bookmarkliste eintragen. Vergleiche versteht man einfach besser!

Ein sehr interessanter Vortrag thematisierte biometrische Verfahren, wobei in mir viele Erinnerungen an Diskussionen über den iPhone-Fingerprint-Leser wach wurden. Meine Erkenntnis: die Verfahren sind sicher, „klonen“ oder „verlieren“ von biometrischen Anmeldedaten ist bei normgerechter Anwendung ausgeschlossen. Viele interessante Informationen findet man auf den Seiten des Fraunhofer Instituts (https://www.igd.fraunhofer.de/Institut/Abteilungen/Identifikation-und-Biometrie) – auch um so manche paranoide Meinung zu widerlegen.