Lieber Herr Busch, lieber Herr Hühnlein, liebe Kolleginnen und Kollegen, vielen Dank für Ihre Ausführungen zur geplanten Umbenennung der FG BIOSIG und zu unserer Stellungnahme vom 8. März. Uns ist es in diesem Zusammenhang wichtig, dass eine Namensänderung einer Fachgruppe im Fachbereich nicht "im Vorbeigehen" erfolgt, sondern bewusst vorgenommen wird. Reale Änderungen in dem Themenumfeld der Sicherheit ziehen naturgemäß Änderungen beim Zuschnitt des Fachbereichs nach sich, wie er sich alleine schon durch die Bezeichnung seiner Fachgruppen anschaulich zeigt. Wir begrüßen daher stets und ohne jeglichen Vorbehalt Bestrebungen organisatorischer Untergliederungen des Fachbereichs, bereits durch geeignete Bezeichnung einer Fachgruppe der Community zu zeigen, dass es sich um einen vitalen Fachbereich handelt, in dem sich aktuelle Entwicklungen sichtbar wiederspiegeln! Zuletzt wurde eine derartige Umbenennung (allerdings über einige FB-Sitzungen hinweg) hinsichtlich der Fachgruppe STEWA vollzogen, die nunmehr MEDIA heißt. Zudem stellte sich die Frage der Bezeichnung auch im Rahmen durchgeführter Fusionen, wie dies bei der FG NETSEC (2004 mit Auflösung der FG M-SEC) und der FG SECMGT (2011 mit Auflösung der FG KRITIS) der Fall war. Dies waren stets begründete, sorgfältig abgewogene und bewusst einvernehmlich beschlossene Entscheidungen seitens des Fachbereichs. Bei einer solchen Entscheidung dürfen durchaus auch strategische Gründe eine maßgebliche Richtung spielen, etwa, ob einem Themengebiet mehr Sichtbarkeit eingeräumt werden soll. Unseres Erachtens ist aber die maßgebliche Beteiligung des Fachbereichs notwendig aufgrund von § 2.1 der GOGL, wonach eine Fachgruppe "unter Festlegung ihrer Aufgaben" durch den Fachbereich gebildet wird. Dies gilt u.E. auch für die Frage einer Umbenennung, die damit nicht in Eigenregie durch die FG selbst vollzogen werden kann. Ganz anders verhält es sich freilich, ob von dieser FG Themen behandelt werden, die sich nicht unmittelbar aus dem Namen ableiten. Das ist natürlich jederzeit möglich. Damit hat auch niemand ein Problem! In den Reihen des Leitungsgremiums der GI-FG SECMGT finden sich aktuell noch fünf Mitglieder des ersten Leitungsgremiums des Fachbereichs Sicherheit. Wir kennen daher die Diskussion über die Struktur und Aufgabenabgrenzung innerhalb des Fachbereichs noch sehr genau. Was viele der aktuellen FB-LG-Mitglieder nicht wissen können, ist, dass es damals beim Namen der FG SECMGT im FB lebhafte Debatten gab, die dann kurzerhand durch die Auswahl des Namens, wie er sich heute darstellt, gelöst werden konnten. Selbstverständlich sind Management-Themen Gegenstand aller anderen FGs. Ebenso sind technische Themen, die in anderen FGs vorrangig behandelt werden, natürlich auch Gegenstand von Management-Fragen und finden sich daher wenig überraschend auch in unseren Aktivitäten wieder. Es ist unbestreitbar eines der großen Vorteile dieses FBs, dass es diese gegenseitige Durchdringung und die zahlreichen Schnittstellen zueinander gibt. Daran will nun wirklich niemand was ändern! Wir bitten aber um Verständnis: Für uns kam die beantragte Umbenennung überraschend und kurzfristig, ohne erkennbare Begründung (warum im Besonderen der Bezug zur Technik bewusst aufgegeben wurde, der bis dahin vorrangig in der FG BIOSIG behandelt wurde) und ohne Thematisierung möglicher Auswirkungen, sowohl hinsichtlich des Zuschnitts des FBs im Allgemeinen und den Aufgabenzuweisungen zu den bestehenden FGs im Besonderen. Das war daher der Grund, warum wir uns in dieser Frage zu Wort gemeldet haben und im Fachbereich eine entsprechende Diskussion anregen wollten. Und dazu stehen wir nach wie vor! Uns ging und geht es dabei in keinster Weise um "Content Claiming" oder um "Exklusivitätsrechte" zugunsten der FG SECMGT. Wenn dieser Eindruck entstanden ist, tut uns das leid. Wir stellen hiermit ausdrücklich klar, dass das nicht unser Bestreben ist! Ganz im Gegenteil: In schöner Regelmäßigkeit unterstützen wir sogar ausdrücklich Aktivitäten anderer FGen im thematischen Umfeld, sobald wir davon Kenntnis erhalten. Uns liegt sehr viel an entsprechender Zusammenarbeit. Abgrenzung ist jetzt wahrlich nicht unser Motiv. Wir wollten lediglich darauf hinweisen, dass im Besonderen Identitätsmanagement innerhalb des Managements von Informationssicherheit eine Kerndisziplin ist. Doch auch diese Disziplin steht unter der Maxime des risikobasierten Ansatzes, der damit das Leitmotiv unserer Fachgruppe bildet. Der zitierte Satz ist daher in der Tat das identitätsstiftende Merkmal unserer FG und insofern auch bewusst ausgewählt worden, im FB-Flyer ausdrücklich genannt zu werden. Wir begrüßen ausdrücklich die Aktivitäten der FG BIOSIG im Kontext des "Open Identity Summit". Wie Sie wissen, kooperieren wir immer gerne mit anderen Gruppen und Verbänden, wenn es sich inhaltlich anbietet. Aus diesem Grund haben wir uns z.B. am letzten perspeGKtive-Workshop aktiv beteiligt, PC-Mitglieder gestellt und dazu über unsere Kanäle aufgerufen. Der September 2013 ist auf unserem Veranstaltungskalender bereits sehr voll: Wir führen einen eigenen Workshop im Rahmen der D-A-CH Security 2013 durch, sind mit einem gemeinsamen Workshop mit der FG PET auf der GI-Jahrestagung vertreten und unterstützen einen weiteren Workshop auf der GI-Jahrestagung, der sich mit Risikokommunikation beschäftigt. Das "Open Identity Summit" findet nun genau eine Woche vorher statt. Wir haben zwar viele Kapazitäten, aber leider auch nicht unerschöpfliche. Wir klären gerne intern ab, ob wir doch noch einige PC-Mitglieder stellen können. Das haben wir bisher noch nicht entscheiden können. Falls dem nicht so sein sollte, bitten wir das nicht als Ablehnung zu interpretieren. Sollte auch aus dieser Veranstaltung eine regelmäßige werden, beteiligen wir uns gerne in den Folgejahren sichtbarer an dieser interessanten Veranstaltung. Gerne leiten wir unabhängig von unserer Beteiligung Ihren CfP an unsere Mitglieder weiter. Mit freundlichen Grüßen Dipl.-Inf. Bernhard C. Witt Senior Consultant für Datenschutz und Informationssicherheit, geprüfter fachkundiger Datenschutzbeauftragter (UDIS), zertifizierter ISO/IEC 27001 Lead Auditor (BSi), Certified in Risk and Information Systems Control (CRISC; ISACA), Lehrbeauftragter für Datenschutz und IT-Sicherheit an der Universität Ulm (seit 2005), Autor der Bücher "IT-Sicherheit kompakt und verständlich" (2006) und "Datenschutz kompakt und verständlich" (2008 & 2010), Mitglied im DIN-Arbeitsausschuss "IT-Sicherheitsverfahren" (AK 1 & 4), Mitglied im Leitungsgremium der GI-Fachgruppe "Datenschutzfördernde Technik" sowie Sprecher der GI-Fachgruppe "Management von Informationssicherheit" (seit 2009) ----------------------------------------- Consulting in Riskmanagement / Information Security Management / Compliance Management / Data Protection / Penetrationtests / IT-Forensics it.sec gehört seit 2012 dem nationalen Expertenkreis Cybersecurity / IT-Forensik des BSI an it.sec GmbH & Co. KG Einsteinstr. 55 D-89077 Ulm Fon: +49 (0)731/20589-11 Fax: +49 (0)731/20589-29 bernhard.witt@it-sec.de www.it-sec.de Amtsgericht Ulm: HRA 3129 haftender Komplementär: it.sec Verwaltungs GmbH Amtsgericht Ulm: HRB 4593 Geschäftsführer: Holger Heimann ----------------------------------------- -----Ursprüngliche Nachricht----- Von: fb-lg-bounces@gi-fb-sicherheit.de [mailto:fb-lg-bounces@gi-fb-sicherheit.de] Im Auftrag von Christoph Busch Gesendet: Samstag, 16. März 2013 08:53 An: Leitungsgremium des GI-Fachbereiches Sicherheit Cc: biosig-lg@gi-fb-sicherheit.de Betreff: Re: [FB-LG] [BIOSIG-LG] Namensänderung der Fachgruppe BIOSIG Lieber Herr Witt, liebe Kollegen im FBSEC-LG, auf Ihre email vom 8. März hatte ja bereits Detlef Hühnlein geantwortet und Ihnen einen inhaltlichen Dialog angeboten. Ich möchte seine Antwort noch ergänzen. 1.) Wir wünschen uns Kooperation Ich würde mich feuen, wenn Sie inhaltlich mit Detlef Hühnlein kooperieren und am "Open Identity Summit" mitwirken. 2.) Ich kann keinen inhaltlichen Konflikt erkennen. Auf der SECMGT-Seite finde ich eine Beschreibung der SEGMGT-Themen unter: http://fg-secmgt.gi.de/fileadmin/gliederungen/fb-sec/Workshops_neu/SECMGT-In... Dort lese ich: "Die GI-Fachgruppe SECMGT ... beschäftigt sich mit der Verzahnung von informationstechnischen sowie organisatorischen Schutzmaßnahmen und dem Risikomanagement in Behörden oder Unternehmen" Schutzmaßnahmen und Risikomanagement sind sicher nicht Themen, die im Konflikt mit BIOSIG-Themen stehen. 3.) Es wird keine Exklusivität beansprucht Die Fachgruppe BIOSIG kümmert sich um einige Themen. Wir haben aber keinen Alleinvertretungsanspruch für diese Themen, die uns interessieren - im Gegenteil wir arbeiten mit vielen Organisationen zusammen. Das ist auf unserer Webseite dokumentiert. 4.) Es gibt keinen Alleinvertretungsanspruch. Mir ist nicht bekannt, dass es innerhalb der GI einen Alleinvertretungsanspruch von Organisationen für Themen gibt. Seit meiner Mitwirkung im FBSEC-LG gab es mehrmals Sachthemen, die im FBSEC und im PAK diskutiert wurden. Und wie Sie ausgeführt haben gibt es im FBSEC eben mehrere Gruppen, die sich mit Identitätsmanagement beschäftigen. Das ist m.E. kein Problem. 5.) Auch andere Themen sind in vielen Fachgruppen verankert. Es gibt neben dem Thema Identitätsmanagement viele andere Themen im Fachbereich, die von mehreren Fachgruppen behandelt werden. Beispiel: Kryptographische Hashfunktionen in KRYPTO, PET, NETS, SIDAR etc. Das wurde bisher auch nicht als Problem gesehen. Warum gibt es also nun bei "Identitätsmanagement" oder bei "Management" ein Problem? 6.) Eine Organisationseinheit ist für die Webseite verantwortlich Ich finde, eine Fachgruppe sollte selbst ihre Webseite gestalten und verantworten und sehe dies nicht im Widerspruch zur GI-Geschäftsordnung der GI-Gliederungen (GOGL). http://www.gi.de/wir-ueber-uns/leitung/wahlen-und-ordnungen/geschaeftsordnun... Wir hatten auf Bitten von Hannes Federath in einem Schwung unsere Webseite auf die aktuellen Themen angepasst. 7.) Eine Organisationseinheit akutalisiert ihren Namen Aus der GI-Geschäftsordnung der GI-Gliederungen (GOGL) kann ich in §3 einige Pflichten einer Fachgruppe entnehmen. Eine Pflicht, die Namensänderung der Fachgruppe vom übergeordneten Leitungsgremium bestätigen zu lassen kann ich da nicht erkennen. Ich möchte daran erinnern, dass wir auch im FBSEC lange um den Namen des Fachbereichs gerungen haben. Letztlich haben wir den Namen im FBSEC selbst bestimmt und nicht das übergeordnete Gremium entscheiden lassen. Warum sollte es nun anders sein? Das Leitungsgremium der Fachgruppe BIOSIG hat am 7. Februar die Namensänderung beschlossen. Das wäre m.E. schon ausreichend. Ich bitte Frau Winter um Klärung, in welchem Dokument die korrekte Prozedur definiert ist. Ich möchte abschliessend darum bitten, dass das FBSE-LG am 8. April der Namensänderung zustimmt. Aus Resourcengründen werde ich leider nicht persönlich an der Sitzung in Wien teilnehmen können - stehe aber für Fragen gerne vorab zur Verfügung. mit freundlichen Grüßen Christoph Busch Am 09.03.13 20:19, schrieb Dr. Detlef Hühnlein:
Lieber Herr Witt,
herzlichen Dank für Ihre mail.
Ich bin mir nicht ganz sicher, ob wir bezüglich der grundsätzlichen Mission einer Fachgruppe in der GI und den daraus möglicherweise resultierenden Rechten und Pflichten das gleiche Verständnis haben.
Soweit ich das verstehe, leitet sich aus der Benennung einer Organisationseinheit, oder gar einem Namensbestandteil, aber selbstverständlich KEIN irgendwie gearteter "Alleinvertretungsanspruch" ab. Schließlich erfordern viele heutige Probleme das kooperative Zusammenwirken von interdisziplinären Expertenteams und dass die FG BIOSIG sich stets um eine offene Kooperation mit entsprechenden Partnern bemüht, zeigt sich beispielsweise beim "Open Identity Summit" (siehe http://openidentity.eu/cfp.pdf) .
Mir war nicht bewusst, dass spezifische Aspekte des Identitätsmanagements auch in Ihrer FG fokussiert behandelt werden, sonst hätte ich Sie und Ihre Kollegen selbstverständlich eingeladen, aktiv am "Open Identity Summit" mitzuwirken. Sofern Sie möchten, nehmen wir Sie gerne noch mit. Sofern es Ergänzungsvorschläge für die adressierten Themen und/oder das PK gibt, können wir die noch aufnehmen. Der CfP soll in Kürze nochmal verteilt werden, so dass hier noch Ergänzungen vorgenommen werden könnten.
Diese Einladung gilt selbstverständlich auch für alle anderen Fachgruppen, die ich vergessen haben könnte und die sich mit den adressierten Themen beschäftigen.
Der Begriff "Identitätsmanagement" (vgl. http://www.ecsec.de/pub/2008_DuD_Glossar.pdf ) wurde übrigens deshalb gewählt, weil er das in unserer FG bearbeitete Themenfeld aus unserer Sicht am besten beschreibt. Umgekehrt heißt das selbstverständlich NICHT, dass diese Themen ausschließlich in der FG BIOSIG bearbeitet werden. Denn vielmehr gibt es ja in den FGen PET, KRYPTO, ECOM, EZQN und nicht zuletzt SECMGMT Experten, die sich bestimmten Aspekten des Identitätsmanagements in spezialisierter Weise annehmen.
Sofern das nötig ist, können wir die Thematik gern auch im Rahmen einer Telefonkonferenz besprechen. Am geplanten Termin in Wien werde ich leider nicht teilnehmen können. Insofern würde müsste die dortige Diskussion leider ohne mich stattfinden.
VG, dh
-- ------------------------------------------------ Prof. Dr. Christoph Busch Competence Center for Applied Security Technology CAST e.V. Fraunhoferstr. 5, 64283 Darmstadt Tel:+49-6151-155-536 email: christoph.busch@cast-forum.de http://www.castforum.de http://www.christoph-busch.de ------------------------------------------------ _______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg