Security Round Table
ADVERTORIAL
Bild: Eva Puella Photography
Die Teilnehmer (v.l.n.r.): Christian Wiesener (AuRep), Thomas Masicek (T-Systems), Christian Pfundner (Schrack Technik Gruppe) und Christoph Schacher (Wienerberger).
Bild: Eva Puella Photography

Round Table T-Systems

Security ist nichts Starres

Welche Bedrohungen der IT-Sicherheit stehen bei österreichischen Unternehmen aktuell auf der Agenda? Wie schützen sie sich davor? Um das herauszufinden, haben wir gemeinsam mit T-Systems die Security-Verantwortlichen der Austrian Reporting Services GmbH, Schrack Technik Gruppe sowie der Wienerberger AG zum Cyber-Security-Gespräch eingeladen.

Gemeinsam mit Thomas Masicek, bei T-Systems in Österreich und der Schweiz für das Thema Cyber Security verantwortlich, begrüßte monitor.at Christian Pfundner, CIO der Schrack Technik Gruppe, Christoph Schacher, der bei der Wienerberger AG für Cyber Security und Datensicherheit bzw. Datenschutz zuständig ist, sowie Christian Wiesener, Cyber Security Officer der Austrian Reporting Services GmbH (AuRep), dem Partner der Österreichischen Banken und Finanzdienstleister für das Meldewesen an die Aufsichtsbehörden, zu einem Round Table mit dem Thema Cyber Security.

Es bleibt alles anders

Auch wenn in den letzten Jahren neue Technologien und Methoden auf der Bildfläche aufgetaucht sind, so ist die Bedrohungslage laut den versammelten Experten im Kern doch die gleiche geblieben. Eine positive Entwicklung gibt es jedoch zu verzeichnen: Der Stellenwert von IT-Security ist gestiegen. "Früher war das anders. Die Security wurde erst nachher dazu gerufen. Das hat sich heute geändert. Man sollte Security von Anfang an bei der Planung der Architektur mitberücksichtigen", so Christian Wiesener.

Das bedeutet aber nicht, dass die "bösen Jungs" nichts dazugelernt hätten. Es stimme zwar, dass die Kernbedrohung relativ identisch geblieben sei, bestätigte Thomas Masicek von T-Systems. "Aber die Qualität dahinter und die zeitliche Nähe zwischen dem Bekanntwerden einer neuen Schwachstelle und ihrer systematischen Ausnutzung sind ganz anders. Waren wir vor drei Jahren noch bei mehreren Wochen sind wir jetzt teilweise schon bei wenigen Stunden. Da mithalten zu können und schnell genug zu reagieren ist für die IT eine immer größere Herausforderung", erklärte der Cyber-Security-Experte. Neben der gestiegenen Qualität von Malware und dem damit verbundenen höheren Aufwand für Incident Response müsse auch die höhere Abhängigkeit der Unternehmen vom Internet-Zugang und von Cloud Services bedacht werden. Masicek: "Durch die Abhängigkeit von der Verbindung zu den Cloud-Services nehmen auch durch Cyber-Angriffe verursachte Betriebsausfälle zu."

 

"Security soll nicht heißen, dass
alles zu hundert Prozent zugesperrt sein muss."


- Thomas Masicek, T-Systems

Ein Fuß in der Tür

Um einen Fuß in die Tür zu bekommen, bedienen sich Kriminelle immer öfter weniger technischer, als vielmehr zwischenmenschlicher Methoden. "Wenn Sie mich fragen, was uns in den letzten Jahren massiv verändert hat und was in den letzten Jahren zugenommen hat, dann sind das Social Attacks. Wir haben vor drei Jahren begonnen, die Awareness dafür im Haus aufzubauen", erzählte beispielsweise Christian Pfundner. Zu Beginn hätte laut dem Schrack-CIO zwar der Glaube vorgeherrscht, man wäre als Ziel zu uninteressant. Nachdem aber entsprechende Berichte von anderen, vergleichbaren Firmen aufgetaucht wären, hätte ein Umdenken eingesetzt: "Daraufhin ist unser Management hellhörig geworden und hat mit einer beeindruckenden Geschwindigkeit begonnen zu analysieren, welche Dinge wirklich kritisch sind. Das sind typischerweise zwei Dinge: an Credentials zu kommen, um Daten absaugen zu können, und auf der anderen Seite Zahlungsströme auszulösen." Die Konsequenzen, die man bei Schrack gezogen hat: Neben Investitionen in "technische" IT-Security wird auch auf Prozessebene für Sicherheit gesorgt – zum Beispiel durch intensive Mitarbeiterschulung.

Auch für die Wienerberger AG sind sind die Mitarbeiter einer der Schlüssel für die Informationssicherheit. "Im Dreieck zwischen Prozessen, Technologie und Menschen haben für mich die Menschen sehr, sehr große Bedeutung. Denn die Social-Engineering-Varianten werden immer ausgefeilter. Die nötige Awareness zu schaffen ist eine große Herausforderung. Wir haben ein weltweites Programm aufgezogen, um Mitarbeiter für solche Themen zu sensibilisieren", sagte Christoph Schacher und ergänzte: "Das ist besonders wichtig, denn die Menschen spielen eine sehr große Rolle, wenn ich an Prozesse und Technologien denke. Sie sind diejenigen, die diese Prozesse umsetzen und die Technologie nutzen. Die schönste Technologie nützt nichts, wenn sie umgangen wird, weil man zum Beispiel in der Cloud schnell etwas zukauft."

Aus Fehlern lernen

Apropos umgangen: Der zuvor erwähnte Fuß in der Tür muss nicht unbedingt und ausschließlich metaphorisch verstanden werden. Oft genug handelt es sich um einen echten Fuß, der sich auch von keinem Anti-Virus und keiner Firewall aufhalten lässt.

"IT-Security muss klassisch die Technik absichern. Aber der vermeintliche DHL-Mann oder der Pizzalieferant geht einfach durch die Tür. Wenn er weiß, dass der Geschäftsführer gerade nicht da ist, geht er in sein Büro, steckt einen Keylogger an und die Sache ist gegessen. Es gibt leider so viele Facetten. Einen Teil kann man technisch abdecken, ich kann die Leute auf der Prozessebene schulen, ich brauche eine physische Barriere", lenkte Christian Pfundner die Aufmerksamkeit auf einen nicht minder wichtigen Aspekt.

Ein weiterer wichtiger Aspekt ist auch, Fehler nicht rigoros abzustrafen, sondern aus ihnen zu lernen. Christian Wiesener: "Die Mitarbeiter dürfen keine Angst haben. Nach dem Motto: Ich habe irgendwo draufgeklickt und sage es lieber niemandem. Das ist ganz schlecht. Besser ist es, offen zuzugeben wenn ein Problem passiert ist."

Thomas Masicek fasste zusammen: "Die typischen Betrugsgeschichten von früher gibt es jetzt in einer digitalisierten Version. Man nutzt also einerseits Social Engineering mit neuen Technologien, verknüpft mit ganz alten Betrugsmaschen. Im B2B geht es teilweise um sehr große Summen, da sind auch die Schäden für die Unternehmen schnell sehr groß. Das kann wirklich jeden treffen, egal ob er eine ganz ‚analoge‘ Produktion hat, die überhaupt nicht in Verbindung mit der IT steht, oder ob er komplett von IT durchdrungen ist."

Ebensowenig, wie man alle seine Türen versperren und niemanden hinein- oder hinauslassen kann, kann man seine IT komplett abschotten. Geschäftsbeziehungen laufen heute großteils digital und teilweise automatisiert. IT-Security darf das nicht blockieren. Das ist auch eine der Herausforderungen, denen sich Christoph Schacher stellen muss: "Ein großes Thema für uns ist, die Security erlebbar und im Unternehmen als Partner wahrnehmbar zu machen – nicht nur als Bremser, der alles aufhält."

Genau das ist dem T-Systems-Experten Masicek zufolge die Kunst: das Business nicht zu behindern sondern zu unterstützen. Denn wenn man es behindere, dann würde Security schnell wieder abgedreht. "Security soll nicht heißen, dass alles zu hundert Prozent zugesperrt sein muss, denn dann kann man nicht mehr arbeiten, sondern, dass ich ein angemessenes Sicherheits-Management für meinen Geschäftsbetrieb implementiert habe."

Zurücklehnen und in falscher Sicherheit wiegen darf man sich hinsichtlich Cyber Security auf jeden Fall niemals. Schön in einen Satz gepackt hat das Christian Pfundner: "Zu glauben, dass man wirklich sicher ist, ist gefährlich." Trotz der im Kern, wie anfangs festgehalten, ähnlichen Bedrohungslage hat sich in den vergangenen Jahren viel getan und sowohl die Qualität als auch die Geschwindigkeit der Angriffe hat zugenommen. Passend dazu lieferte Christian Wiesener das Schlusswort: "Security ist etwas, dass lebend ist, sich ständig wandelt und anpassen muss. Sie ist nichts Starres."

Weitere Artikel

Digitale Zwillinge werden Realität

PLM-Systeme liefern historische Daten, auf Basis derer ein…

Weiterlesen

KI in Forschung und Entwicklung

Egal, in welcher Branche man sich umhört – der Einsatz…

Weiterlesen
 © BRZ_Klaus Vyhnalek

„Blick aus User-Sicht ist entscheidend“

Das BRZ ist ein wichtiger Partner in der weiteren…

Weiterlesen

Die Zukunft aller Digitalisierungsprojekte

Der digitale Zwilling ist der Grundpfeiler aller…

Weiterlesen
Credit: SEPPmail-Deutschland

Land Oberösterreich setzt auf E-Mail-Verschlüsselung von SEPPmail

Die E-Mail ist im Verwaltungsalltag in Organisationen und…

Weiterlesen
Credit: Jana Krippel

Mehr als ein Jahr DSGVO: Ist der Sturm vorübergezogen?

Die Einführung der neuen DSGVO-Richtlinien vor etwas mehr…

Weiterlesen
Credit: Michael Dürr

„Es kann jedem passieren“

Markus Endres und Aleksandar Lacarak, Mitbegründer des…

Weiterlesen
Credit: Syngroup

Digitaler Schub

Die digitale Transformation benötigt in vielen Bereichen…

Weiterlesen
Grafik: Verlag Holzhausen GmbH

Integration der Zeitschrift "Monitor" in "Austria Innovativ"

Nach reiflicher Überlegung haben wir uns entschlossen, die…

Weiterlesen
Credit: Schulamt St. Pölten

Selfservice statt Zettelwirtschaft

Mit einer neuen Softwarelösung hat das Diözesan-Schulamt St.…

Weiterlesen
Credit: Fotalia

Die sichere Datenwolke

Die Cloud bietet viele Vorteile wie höhere Flexibilität zu…

Weiterlesen
Credit: A1 Digital

Über die technologische Seite hinaus denken

Die Digitalisierung nimmt in Österreich an Fahrt auf, weiß…

Weiterlesen
Foto: Universität Innsbruck

ERP Future Business 2019

Auf der Fachmesse stellen die teilnehmenden Anbieter von…

Weiterlesen
Bild: Eva Puella Photography

Markus Neumayr ab 2019 alleiniger Geschäftsführer

Zwanzig Jahre lang standen Firmengründer Univ.-Doz. Dr.…

Weiterlesen
Bild: UBIT

IKT Statusreport #4 zeigt akuten Handlungsbedarf

Konkrete Maßnahmen bei Informatikstudierenden und…

Weiterlesen
Bild: IGEL

Never change a winning team

Bei den Kursen des ICGEB in Triest kommen Studenten aus den…

Weiterlesen
Bild: NTT Security

5 Schritte für hohe Datensicherheit in der Cloud

Die Verlagerung von Geschäftsprozessen und Applikationen in…

Weiterlesen
Bild: CyberArk

DevOps-Risiken werden unterschätzt

Unternehmen nutzen verstärkt DevOps-Modelle für die…

Weiterlesen
Bild: presono/Anzhelika Kroiss

Ex-Microsoft Manager Keller wechselt zu presono

Lukas Keller geht als als neuer CEO zum 2015 in Linz…

Weiterlesen
Bild: Otago

Otago expandiert weiter

Bei der Wiener Online Consulting Agentur Otago stehen auch…

Weiterlesen