Alle 14 Tage aktuelle News aus der IT-Szene   >   
KPMG Österreich tritt SAP-PartnerEdge-Programm bei 27. 03. 2024
Dem Beratungshaus stehen im Rahmen der neuen Kooperation zahlreiche Tools für die digitale Geschäftstransformation zur Verfügung.
SAP und NVIDIA intensivieren Partnerschaft 20. 03. 2024
Die beiden Tech-Player wollen mit ihrer neuen Kooperation den Einsatz generativer KI in Unternehmensanwendungen vorantreiben.
IT Security made in Austria 13. 03. 2024
Medialine partnert mit dem österreichischen Hersteller von „Quantum safe“ Speicherlösungen fragmentiX.
Neue Funktionen für SAP Datasphere 07. 03. 2024
Frische Features für SAP Datasphere und eine neue Unternehmenspartnerschaft helfen Unternehmen beim produktiven und sicheren Umgang mit Geschäftsdaten.
KI-Transformation: Effizienzsteigerung statt Innovation im Mittelpunkt 06. 03. 2024
Laut einer aktuellen Befragung hat die Mehrheit der Unternehmen noch keine KI-Strategie.
Nagarro fördert Digitalisierungsideen 19. 02. 2024
Nagarro sucht erneut innovative Ideen zu digitalen Geschäftsmodellen, Produkten und Services. Als Gewinn winkt ein Realitätscheck durch Expert:innen im Wert von 50.000 Euro.
Einfacher Weg zur Cloud-First-Strategie 12. 02. 2024
SAP präsentiert neue Möglichkeiten für Migration und Modernisierung von Softwaresystemen.
Dätwyler IT Infra übernimmt Seabix 18. 12. 2023
Der IT-Infrastruktur-Anbieter holt sich eine intelligente Kommunikationslösung ins Portfolio.
Bechtle konsolidiert Geschäft in Österreich 18. 12. 2023
Die beiden österreichischen Unternehmen der Bechtle-Gruppe gehen ab 2024 gemeinsame Wege.
hosttech launcht Kl-gestützte Domainsuche 15. 12. 2023
Der Internet Service Provider lanciert mit Domain GPT eine eigens entwickelte Kl-gestützte Domainsuche.
BOLL übernimmt Distribution von WALLIX in Österreich 15. 12. 2023
Der Security-VAD nimmt die Privileged-Access-Management(PAM)-Lösung des französischen Softwareanbieter ins Programm für Österreich.
vshosting expandiert nach DACH 14. 12. 2023
Der europäische Business Cloud Provider bietet seine Dienstleistungen nun auch im deutschsprachigen Raum an.
BestRecruiters 2023: BEKO holt Gold 01. 12. 2023
Der österreichische Technologiedienstleister sichert sich den Sieg in der Kategorie „Arbeitskräfteüberlassung“.
Trusted Access Client: Rundum-Schutz fürs Netzwerk 30. 11. 2023
Mit der Cloud-managed Remote Network Access-Lösung sorgt LANCOM für Sicherheit beim hybriden Arbeiten.
BOLL schließt Distributionsverträge mit Tenable und ALE 30. 11. 2023
Der DACH-IT-Security-VAD BOLL Engineering ist ab sofort Distributor für die Lösungen von Tenable in Österreich und in der Schweiz sowie ab 2024 für Alcatel-Lucent Enterprise in Österreich.
SVS setzt auf SuccessFactors 29. 11. 2023
Die HR-Lösung aus dem Hause SAP sorgt bei der SVS für Datentransparenz und eine aktive Einbindung der Belegschaft in die Geschäftsprozesse.
Trend Micro zeigt KI-gestützten Cybersecurity-Assistenten 28. 11. 2023
Der Companion unterstützt Analysten, um die Erkennung von und Reaktion auf Bedrohungen zu beschleunigen.
Nagarro bringt neue KI-Plattformen auf den Markt 23. 11. 2023
Genome AI, Ginger AI und Forecastra AI ermöglichen einen schnellen Einstieg in die KI-Welt.
weiter
Roundtable IT-Sicherheit

Security von vornherein mitdenken

it&tbusiness lud vier Experten zur IT-Security Experten Runde, die diesmal bei T-Systems stattfand. Diskutiert wurde über die zunehmende und künftige Bedrohungslage, über die Gefahren von IoT, über Schutzmaßnahmen, den menschlichen Faktor, aber auch die Auswirkungen der DSGVO, das neue NISG und Zukunftsvisionen. Von Christine Wahlmüller

Foto: timeline/Rudi Handl Es diskutierten: Udo Schneider, Trend Micro, Herwig Köck, T-Systems, Thomas Snor, A1 Digital, Moderatorin Christine Wahlmüller, Markus Klemen, SBA Research (v.l.) Cyber-Attacken gehören mittlerweile beinahe schon zum Alltag dazu. Kein Tag vergeht, an dem ich nicht irgendwo von irgendwem höre, dass da „wieder etwas passiert ist.“. Das Bedenkliche ist: Alle Vorhersagen sind sich einig, dass es noch schlimmer werden wird. Sprich: Die Bedrohungen und Cyber-Attacken werden noch zunehmen. Der Bericht Mapping the Future: Dealing with Pervasive and Persistent Threats“, Ende 2018 von Trend Micro veröffentlicht, warnt etwa eindringlich vor den zunehmenden Bedrohungen, denen Verbraucher und Organisationen ausgesetzt sind und die durch die zunehmend vernetzte Welt noch weiterwachsen werden. Insbesondere sogenannte „Social Threats“ und Phishing Attacken werden sehr stark zunehmen – das betrifft sowohl Einzelpersonen als auch Unternehmen. Mittlerweile schon ein Klassiker: Das gefälschte mail vom Chef, bitte einen Betrag X an ein Konto Y zu überweisen (CEO Fraud).

Wir haben unsere Security Expertenrunde um ihre Meinungen gefragt: Was sind die größten Herausforderungen und Bedrohungen, mit denen Unternehmen heute konfrontiert sind?  „Im Zeitalter von Industrie 4.0, IoT und Cloud stehen viele Unternehmen heute tatsächlich vor großen Herausforderungen. Beim Thema Sicherheit großer Industrieanlagen und IoT kommt man auch an der rechtlichen, regulatorischen Thematik nicht vorbei“, betont Udo Schneider, Security Evangelist bei Trend Micro. Er macht hier auch gleich einen deutlichen Unterschied zwischen klassischer IT und OT (Operational Technology) als Problem fest. „Da kann die klassische IT auch einiges von den Erfahrungen der OT lernen“, setzt er hinzu. Im Zeitalter von IoT müssen IT und OT zusammenrücken bzw. nahtlos ineinandergreifen.

Markus Klemen, Geschäftsführer von SBA Research, hat einen sehr umfassenden Zugang zum Thema IT-Security: „Wir decken von organisatorischer bis technischer IT-Security alles ab und haben derzeit zu jedem unserer vier Schwerpunktbereiche, das sind: Sicherheit vernetzter Systeme, Software & Security, Schutz der Privatsphäre bzw. gesellschaftliche Sicherheit sowie Kryptographie der Zukunft, rund 20 bis 30 Forschungsprojekte laufen“. In der zukünftigen Forschung geht es auch viel um Künstliche Intelligenz und gesellschaftliche Fragestellungen, „etwa wie Künstliche Intelligenz (KI) und Machine Learning (ML) unsere Gesellschaft verändern, auch das Thema Explainable Artificial Intelligence (AI), d.h. Verständnis und Transparenz zu schaffen, wie künstliche neuronale Netze oder Deep-Learning Systeme zu ihren Entscheidungen kommen, wird in vielen Anwendungsbereichen eine Rolle spielen.“

 

Foto: timeline/Rudi Handl Markus Klemen, SBA Research: „Managed Services werden sich durchsetzen, weil KMUs die Security-Kompetenz gar nicht mehr intern abdecken können“ IT-Security als Enabler sehen.

Einen sehr praxisbezogenen Zugang zum Thema IT-Security hat Herwig Köck, Leiter des Security Professional Service Bereich bei T-Systems, sein Fokus ist im Moment „eine sichere IT-Architektur. Es geht darum, wie man Security nicht zum Verhinderer, sondern zum Enabler macht, wo alles andere darauf aufbauen kann. Wir müssen weg von dem Denken, dass Security Dinge blockiert und man gar kein Risiko eingehen will, sondern wir sollten mehr darauf schauen, welche Auswirkungen unsere Entscheidungen haben und IT-Sicherheit von Anfang immer ins Denken miteinbeziehen, darum geht es beim Security-by-Design Prinzip.“

Dem stimmt auch Thomas Snor, Director IT-Security bei A1 Digital, zu. „Security ist Business Enabler und nicht Business-Blocker. Wenn aber zu Produkten nachträglich IT-Security dazugestoppelt wird, das bringt meistens nichts.“ Auch er rät den Unternehmen, Security in allen IT-Belangen immer von Anfang an mitzudenken.

Gerade wenn jetzt Unternehmen versuchen, alle Prozesse immer mehr zu digitalisieren, die ganze Logistik, die Produktentwicklung – wenn es da einen Security-Incident gibt, dann kann das gesamte Geschäftsmodell wegbrechen. Das ist vielen Unternehmen leider noch nicht bewusst, was da alles passieren kann“, warnt Snor. „Man muss daher im Unternehmen für eine entsprechende Awareness sorgen, dass alle in der gesamten Kette das Thema Security mittragen“. Security Abteilungen alleine könnten da nur einen gewissen Rahmen vorgeben, aber man müsse trotzdem die Leute aus den unterschiedlichen Teams dazu aktivieren, dass sie das Thema IT-Security unterstützen.

 

Der menschliche Faktor.

„Der Mensch – das ist heute sicher eines der Haupteinfallstore, ganz einfach erklärt, weil sich viele einfach nicht auskennen. Daher muss man den Leuten beibringen, dass sie sich melden, wenn etwas passiert ist, ohne Scham oder Angst – damit dann rasch richtig reagiert werden kann. Wichtig ist auch die Awareness zu heben, dass die Mitarbeiter erkennen, wenn sie etwas falsch gemacht haben. Zweitens dürfen bei Prozessen die wichtigen Entscheidungen niemals nur bei einer Person liegen. Da geht es ganz gezielt um die Verhinderung von CEO Frauds. Auch diese ändern sich: Da geht es heute oft gar nicht mehr um eine bloße Aufforderung zu Zahlungen, sondern z.B. um eine Anweisung, Kontodaten zu ändern. Gerade solche Aktivitäten mit stark finanziellem Background, da sollte ein zweiter Kommunikationsweg aufgebaut werden: Das kann auch über eine eingespeicherte Telefonnummer bzw. einen raschen telefonischen Check sein, wo man einfach rückfragt, ob diese Aufforderung jetzt tatsächlich ok ist,“ gibt Herwig Köck gleich konkrete Tipps.

„Dass die interne Bedrohung am größten ist, das ist seit langem ja bekannt. Das Wichtige ist: Man sollte es dem Nutzer nicht negativ anhaften und ihm vermitteln: Du bist zu doof. Und auch die Awareness Schiene ist eine zweischneidige Sache. Da wird dann von Seiten der Geschäftsführung gefragt: Wir haben doch jetzt ein Awareness Training gemacht, wieso sind wir dann nicht sicher? – Davon müssen wir uns verabschieden, denn mit der richtigen Ansprache und Nachricht, da würde jeder von uns im Raum auf eine Fake mail reinfallen“, ist Udo Schneider überzeugt. „Wichtig ist auch eine gute Firmenkultur, und ein nicht-autoritärer Chef – denn wenn sich keiner traut, bei einer „komischen“ mail rückzufragen und lieber die Anweisung ausführt, ist das für einen Angreifer perfekt“, gibt Schneider zu bedenken.

 

Foto: timeline/Rudi Handl Herwig Köck, T-Systems: „Intrusion Detection, Web App Firewall etc.: Vieles gibt es aus der Cloud. Alle Services selbst aufzubauen, zahlt sich gar nicht aus“ Gute Firmenkultur, Rückfragen, Passwörter.

„Bei vielen Unternehmen reicht es schon, eine einfache Rechnung zu schicken. Die wird bezahlt – da sind wir noch ganz weit weg von irgendeiner Security“, ergänzt Thomas Snor. „Man kann vieles mit Security-Maßnahmen und Awareness lösen, aber das alles nutzt nichts ohne gute Firmenkultur“, fasst Snor zusammen.

„Was mir aufgefallen ist, ist, dass in der Risikobewertung das Faktum „Kontonummer ändern“, nicht sehr prominent vorkommt. Gerade das ist entscheidend. Am besten ist es, gerade in so einem Fall, immer rückzufragen und vorher nichts zu überweisen“, rät Markus Klemen.

Nach wir vor ein Security-Thema (sowohl in Unternehmen als auch bei Privatpersonen) sind Passwörter. „Und da sollte jedes Unternehmen seinen Mitarbeitern vermitteln: Bitte verwendet unterschiedliche Passwörter und nehmt nicht die Firmen-mail-Adresse für private Accounts – das sieht man leider noch immer sehr oft. Damit ist es für den Angreifer sehr bequem, sich genau dieses Accounts dann zu bedienen“, verdeutlicht Snor die Gefahr.

 

Cloud und Managed Services.

„Was auch aus den Köpfen herausmuss, ist das Mindset: Ich bin ja gar nichts das Ziel der Angreifer, ich habe keine Daten zu verlieren“, warnt Herwig Köck. Er erinnert z.B. an Hotels, wo Zutrittssysteme ausfielen, wobei es sich nicht um eine gezielte Attacke handelte, sondern um Seiteneffekte einer Ransomware.  „Komisch ist auch, dass sich hartnäckig die Meinung und „Häuslbauer-Mentalität“ hält, dass ein Server, der in der Besenkammer in den eigenen vier Wänden der Firma steht, den der Neffe vom Bruder vom Onkel vom Nachbarn wartet – dass das sicherer ist, als wenn man eine Cloud Lösung von irgendeinem der genau darauf spezialisierten Hersteller – mit einem top-ausgestatteten Rechenzentrum und betreuenden Experten – in Anspruch nimmt“, wundert sich Markus Klemen. „Daher glaube ich, wird auch die Idee von Managed Services stärker kommen müssen, weil KMUs die Security Kompetenz in Zukunft gar nicht mehr intern abdecken können“, sagt der SBA-Geschäftsführer.

„Das Problem ist, dass KMUs oft die Bedrohungslage gar nicht verstehen. Sie haben zwar alle irgendwo eine Firewall, aber sie wissen eigentlich gar nicht: Wo sind jetzt meine Schwachstellen? Das heißt, man muss in KMUs die Probleme so erklären, dass es auch ein „normaler“ IT-Techniker versteht. Man brauche auch Lösungen, die man den KMUs anbietet, die zum einen erschwinglich und auch für sie verständlich sind. Ich denke, es ist der falsche Weg, wenn Dienstleister bei KMUs nur Security-Technologien und Hardware „hineinschieben“ inklusive Managed Services. Das erzeugt wieder Kosten, die unerschwinglich sind“, glaubt Snor. „In den letzten Jahren ist oft Security nach dem Gießkannenprinzip an die Unternehmen verkauft worden“, das sei falsch, so Snor, der rät, „sich besser auf das wichtige Know-how bzw. intellectual property im Unternehmen, zu fokussieren – und genau zu schauen, wie diese wertvollen Informationen geschützt werden können.“

 

Foto: timeline/Rudi Handl Udo Schneider, Trend Micro: „Der wichtigste Aspekt der Datenschutzgrundverordnung: Datenschutz ist nicht mehr optional“ KMUs: Aufs Kerngeschäft fokussieren.

Gerade der Aspekt Kosten spielt im KMU Bereich natürlich eine große Rolle. „Es geht um notwendige Technologien und Hardware, aber man braucht auch die Leute mit dem entsprechenden Know-how, um es zu verstehen und zu installieren – und ich benötige ein riesiges Pool an Ressourcen, um das alles zu betreiben. Außerdem sind Security-Leute am Markt so gut wie nicht vorhanden“, zeigt Udo Schneider auf und rät den KMUs ebenfalls zu Managed Services.

Die KMUs wollen und müssen sich auf Ihr Kerngeschäft fokussieren, „und IT-Security ist nicht ihr Kerngeschäft“, bringt es Thomas Snor auf den Punkt. „Ich denke, dieses Umdenken startet schön langsam. Die IT und adäquate IT-Security kann man gar nicht selbst auf diesem Niveau betreiben, wie es ein spezialisierter Dienstleister kann“, so Snor. „Vor allem kleinere Unternehmen, die sich keine dedizierten Security Spezialisten leisten können sollten hier auf externe Partner bauen. Aber auch größere Kunden benötigen in speziellen Themen oft externe Hilfe“, meint auch Herwig Köck und bei einer Cloud-Lösung sei schon vieles abgedeckt: Web Application Firewall, Intrusion Detection Systeme, Incident Response Leute und Forensiker sind da, sollte irgendetwas passieren. Auch Leute die regelmäßig Penetration Tests und Vulnerability Scans durchführen – das alles gibt es aus der Cloud. Das alles selbst aufzubauen, zahlt sich gar nicht aus“, stellt Köck fest. „Das ist aber sicher im eigenen Interesse der Dienstleister zu beweisen, was sie tun, sodass es der Auftraggeber bzw. Unternehmenskunde es auch versteht, etwa so: Sie hatten im vergangenen Monat 30 Mal CEO Fraud, hier ist versucht worden, an die Informationen heranzukommen, bei anderen Unternehmen ist das und das passiert – damit kann man punkten“, sieht Udo Schneider auch die IT-Security Dienstleister gefordert.

Das Kerngeschäft selbst versteht allerdings nur der Kunde, „das komplette Outsourcing der IT und der IT-Security wird daher nicht funktionieren. Wenn es tatsächlich zu einem Incident kommt, braucht auch der Dienstleister vor Ort Mitarbeiter des Unternehmens, die wissen, wie die Kernprozesse beim Unternehmen funktionieren und wie kritisch der Vorfall einzuordnen ist“, rät Thomas Snor dazu, Prozess- und IT-Know-how auch im Unternehmen aufzubauen und zu pflegen. „Hier geht es weniger um IT- und Security Wissen, sondern um die Prozesse, die notwendig sind, um mein Kerngeschäft zu betreiben. Ich muss verstehen und wissen, was bedeutet es für mein Geschäft, wenn ich diesen Rechner und diese Maschine abschalte“, ergänzt Udo Schneider.

 

IoT und vernetzte Maschinen.

Die zunehmende Vernetzung, Stichwort IoT und vernetzte Maschine, „ist für die Unternehmen der produzierenden Industrie gar nicht so viel Neuland. Das ist schon mit der Thematik Fernwartung vor Jahren aufgetaucht. Das ist noch immer sehr oft eines der größten Sicherheitsprobleme, das diese Firmen haben. Wenn man mit Security anfängt, ist eines der ersten Dinge, die man machen sollte, das klassische Thema Segmentierung“, da hapert es laut Snor noch gewaltig in der Praxis. Richtig sei, dass das Thema IoT jetzt noch zusätzlich dazukomme.

„Es ist aber natürlich ein Unterschied, ob bedingt durch einen Penetration Test einmal ein Server quasi „abgeschossen wird“ oder aber in einer Produktionshalle Maschinen ausfallen, dann landet man schnell bei einem Millionenschaden“, verdeutlicht Markus Klemen die Problematik der „connected“ Maschinen. Wenn man dann noch an den Einsatz von Robotern und falschen Bewegungen denkt, „dann ist man auch ganz schnell im Safety-Bereich drinnen“, ergänzt Thomas Snor. „Gerade beim Einsatz von Industrie-Robotern geht es um IT-Security und Safety“, meint Udo Schneider. „Security ist das System vor der Umwelt zu schützen und Safety ist die Umwelt vor dem System zu schützen“, liefert Herwig Köck eine kurze prägnante Begriffsklärung und weiter: „Da alles immer vernetzter wird, werden Security-Probleme jetzt auch oft zu Safety-Problemen.“  Und genau diese Situation „liefert ein gutes Argument, warum jetzt verstärkt in IT-Security investiert werden muss. Man kann den Unternehmen dann klipp und klar sagen: Ist euch eigentlich klar, dass die IT-Security Schwachstellen große Auswirkungen auf Eure Safety bzw. die Sicherheit eurer Mitarbeiter haben?“, fasst Udo Schneider zusammen.

Wichtig sei auch, dass IT- und OT-Leute miteinander verständlich und auf Augenhöhe sprechen können, waren sich alle einig. Ein belehrender Umgang von IT-Security-Diensleistern und Consultern mit den Kunden bringe niemandem etwas. „Das Problem ist vielleicht auch, dass es viele IT-Security Leute gibt, die noch nie im operativen Bereich waren und die noch nie IT selbst betrieben haben und jetzt Consulting machen“, kritisiert Herwig Köck. Da gibt es einfach noch grundlegende Schwierigkeiten im Umgang miteinander, wie auch Udo Schneider berichtet: „Das schaut dann in der Praxis so aus, dass der Produktionsleiter zu den IT Leuten sagt: Ok, es ist ja schön, dass ihr mir gesagt habt, dass ich meine Maschine jetzt patchen, updaten und segmentieren muss, aber warum sollte ich denn das tun? Auf diese Frage sind die IT-Consulter nicht vorbereitet, weil die Frage nach dem Wieso und Warum ist für sie fast Blasphemie.“ Leider wird aber die „Risikobewertung oft gar nicht gemacht, da wird einfach einmal hineingekippt, was alles gemacht werden muss – ohne die Risiken zu kennen“, nennt Thomas Snor einen Kardinalfehler. „Es war in der jüngsten Vergangenheit auch sehr einfach für die Anbieter, weil die Anschläge haben in den letzten Jahren stark zugenommen und es wurde Massenpanik erzeugt. Da war es leicht, den Kunden einzureden, mit Security Produkt A und Security Produkt B bist du sicher – ohne zu verstehen, was der Kunde macht und was er braucht. Und das rächt sich jetzt“, erklärt Schneider. Wichtig wäre schon einmal „die einfachen Hausaufgaben zumindest zu machen, regelmäßig patchen, Antivirus verwenden und auch richtig verwalten, schauen, dass man keine End-of-Life-Systeme hat – das darf man nicht vernachlässigen, nur weil man vielleicht jetzt zusätzliche Technologie hereinstellt“, legt Herwig Köck den Unternehmen dringend ans Herz.

 

Foto: timeline/Rudi Handl Thomas Snor, A1 Digital: „Bei IT-Security kann man mit Qualtität punkten. Das ist eine Chance für europäische Hersteller“ IT-Security bei Maschinen macht wer?

„Ein großes Problem in der Produktion ist, dass die Maschinen bzw. Geräte eine Lebensdauer von 20 bis 30 Jahren haben, und heutzutage gemeinsam mit einem integrierten Computer als Gesamtsystem zertifiziert wird. In dem Moment, wo der PC ausgetauscht wird, ist die Anlage aber eigentlich nicht mehr zertifiziert. Das ist in der Medizintechnik ein sehr dominantes Problem, aber auch in der Produktion sind das Situationen, wo die Hersteller eigentlich gefordert wären“, meint Markus Klemen. „Ich denke, da ist auch die Gesetzgebung gefragt, die Hersteller in die Pflicht zu nehmen, für die Sicherheit und Stabilität ihrer Maschinen und Anlagen zu sorgen, und ihnen deutlich zu vermitteln: Ihr seid in der Verantwortung die Patches zu liefern und einzuspielen“, setzt Thomas Snor hinzu.

Insgesamt bedauert Herwig Köck, sei die Bereitschaft bei Security viel Geld zu investieren, trotz steigender Vorfälle und Cyber-Angriffen, noch immer mager. „Der Preis spielt leider eine dominante Rolle, da machen die Unternehmen lieber Abstriche bei der Qualität. Mit Security ist es schwer im Vergleich zu anderen IT-Services zu punkten, weil es keinen Mehrwert und keine zusätzliche Leistung bringt,“ bringt Köck den finanziellen Aspekt ins Spiel. Gerade aber bei IT-Security könne man aber mit Qualität punkten, „da gibt es ja bereits einiges an Zertifizierungen, sowohl auf Herstellerseite als auch für die Unternehmen selbst“, stellt Thomas Snor klar, „das sei auch eine klare Chance für europäische Maschinen- und Geräte-Hersteller.“ Kritik an IT-Security-Ausschreibungen setzt es von Markus Klemen, „da gibt es teilweise absurde Anforderungen wie etwa HW-Problembehebung in 20 Minuten, vielfach auch formuliert und hineinreklamiert von Juristen, die technisch nicht verstehen, was sinnvoll ist und was nicht.“ Aber da kann man den Kreis in Richtung Risikobewertung schließen, setzt Udo Schneider hinzu: „Wenn die Unternehmen die Risiken ihrer Geschäftsprozesse bewertet hätten, dann wären solche Sachen erst gar nicht aufgetaucht.“

 

DSGVO hat viel bewirkt.

Für die Hebung der Security-Awareness „hat das Thema Datenschutzgrundverordnung (DSGVO) sehr stark beigetragen, die grundsätzliche Idee ist wirklich super. Es hat auch extrem stark zum Umdenken geführt“, stellt Thomas Snor eine positive Auswirkung fest, „auch wenn viele Anwälte im Legal-Bereich einfach Geld machen wollten.“  Sinn gemacht „hat sicher das Verarbeitungsverzeichnis – und einmal überlegen, wo haben wir im Unternehmen überhaupt Daten. Aber eigentlich wäre das schon vor der DSGVO wichtig gewesen, ein Inventory bzw. Wissen zu haben, wo welche Daten liegen und wer darauf Zugriff hat“, betont Herwig Köck und weiter: „Wer vorher schon gute Datenpflege betrieben hat, für den war die DSGVO eigentlich wenig Aufwand.“ Udo Schneider nennt noch einen Punkt: „Der wichtigste Aspekt ist: Es ist nicht mehr optional. Es ist einfach für alle verpflichtend. Aber inzwischen gibt es die Diskussion: Entscheide ich mich für Security oder für Compliance. Einfaches Beispiel IP-Adressen-Filter, d.h. betreibe ich als Firma den Aufwand und speichere die Web-Adresse und habe damit eventuell später ein Compliance Problem oder anonymisiere ich die IP-Adressen komplett und kann aber bei einem Angriff nicht einmal nachweisen, was ich eigentlich gemacht habe, was aber bei einem Breaches durch die DSGVO auch gefordert ist.“ Das könnte man technisch insofern lösen, „dass man die IP-Adressen maskiert und im Notfall demaskiert man sie“, hat Thomas Snor einen Vorschlag dazu parat. „Aber ein Log ohne IP-Adressen ist halt nur bedingt sinnvoll“, wirft Markus Klemen ein. „Das Wichtige ist, man muss die DSGVO Umsetzung mit einem gewissen Hausverstand machen“, bringt Thomas Snor die Diskussion auf den Punkt.

Auch um die Meinung zum neuen NISG (Netzinformationssicherheitsgesetz), das mit Ende Dezember in Kraft getreten ist, und für alle Anbieter kritischer Infrastrukturen (auch Cloud Anbieter) verpflichtend ist, habe ich die Experten gebeten. „Ich halte es für extrem wichtig, dass wir uns hier um das Thema Sicherheit kümmern. Nur wenn man sich selbst damit intensiv beschäftigt, kann man auch seine Kunden optimal beraten“, stellt Thomas Snor fest. „Wir haben schon sehr viele Normen, sechs oder sieben ISO Normen, nach denen wir zertifiziert sind, für uns selbst ist es die Herausforderung zu schauen, wo stehen wir, und was ist jetzt durch das NISG zusätzlich gefordert. Grundsätzlich ist es ein Schritt in die richtige Richtung, aber es wird sicher noch einige Überraschungen geben, wer jetzt aller zu den Betreibern digitaler Dienste zählt. Richtig positiv ist, dass die Information über Angriffe zentral über eine Stelle geshared werden“, ergänzt Herwig Köck. Auch Branchen CERTs (etwa für Energie, Banken) sind in Diskussion und Entwicklung. Etwas Kritik kommt von Markus Klemen: „Die Entstehung des NISG hat schon sehr lange gedauert, anfangs war es das Cybersicherheitsgesetz, bevor man draufgekommen ist, es geht ja eigentlich um ganz etwas anderes. Und es ist noch relativ ungeklärt, wer von den drei zuständigen Behörden, Bundeskanzleramt, Innenministerium und Landesverteidigung, für welche Unternehmen konkret zuständig ist.“ Im Unterschied dazu „gibt es in Deutschland das BSI als zentrale Anlauf- und Regulierungsstelle, mit allen Vor- und Nachteilen“, ergänzt Udo Schneider.

Zu zukünftigen Entwicklungen und Bedrohungen befragt, meint Markus Klemen: „Für mich ist die Frage, inwieweit Managed Services sich durchsetzen werden. Ich glaube, der Server im Unternehmen wird in den nächsten zehn Jahren zusehends verschwinden. „Bevor man in die Zukunft schaut, muss man schauen, dass man die Fehler der Vergangenheit nicht wieder macht. In vielen Unternehmen sind leider die grundlegenden Hausaufgaben noch nicht gemacht. Im Moment kämpfen einfach Amateure gegen Profis bei den Angreifern“, warnt Thomas Snor. „Ich denke, es wird viel um Kommunikation und Austausch gehen, von Menschen, aber auch von technischer Seite, um Systeme und Interfaces: Das heißt, wie kommuniziert man rasch im Problemfall, im Notfall miteinander, Zeit ist da ein extrem wichtiger Faktor – da gibt es noch viel Optimierungspotential“, ist Herwig Köck überzeugt. „Die klassischen Security Konzepte werden durch neue Technologien wie AI und Machine Learning aufgearbeitet in Richtung NextGen Services, da müssen wir alle am Ball bleiben und mitlernen. Auch Standardisierung ist ein wichtiges Thema, viele Unternehmen haben extrem heterogene Netze, die müssen wir auflösen “, so Köck. Über einen Punkt sind sich alle einig: Es braucht in Zukunft noch mehr gut ausgebildete IT-Security Experten. Auf die zunehmende Bedrohungslage geht Udo Schneider ein: „Man kann ja heute schon eine professionelle Attack-Chain automatisiert als Dienstleistung kaufen. Wenn wir uns dieser Mächte und Cyber Attacken erwehren wollen, haben wir nur die Chance, wenn wir gerade auch in der industriellen Produktion Security inhärent integrieren – und zwar von vornherein. Das geht sowohl in Richtung HW- als auch SW-Hersteller. Security muss einfach Teil der gesamten Prozesskette werden.“

 

Die Teilnehmer

Markus Klemen, Geschäftsführer von SBA Research, einem außeruniversitären Forschungszentrum, das 2006 von TU Wien, TU Graz und Uni Wien gegründet, sich nur mit IT-Sicherheit beschäftigt und derzeit rund 100 Mitarbeiter beschäftigt.

Herwig Köck, Leiter des Security Professional Service Bereich bei T-Systems. Die Schwerpunkte liegen im Security Consulting und Security Architektur bei Unternehmenskunden

Udo Schneider, Trend Micro Security Evangelist, kommt stark aus dem Netzwerk-/Security Firewall Bereich. Heute beschäftigt er sich sehr stark mit dem Thema IT-Security in großen Industrieanlagen bzw. IoT & Security.

Thomas Snor, Director Security bei A1 Digital, einem Tochterunternehmen der A1 Telekom Austria Gruppe, fokussiert auf das große Thema Digitalisierung

it&t business medien OG
Tel.: +43/1/369 80 67-0
office@ittbusiness.at