Security Round Table
ADVERTORIAL
Bild: Eva Puella Photography
Die Teilnehmer (v.l.n.r.): Christian Wiesener (AuRep), Thomas Masicek (T-Systems), Christian Pfundner (Schrack Technik Gruppe) und Christoph Schacher (Wienerberger).
Bild: Eva Puella Photography

Round Table T-Systems

Security ist nichts Starres

Welche Bedrohungen der IT-Sicherheit stehen bei österreichischen Unternehmen aktuell auf der Agenda? Wie schützen sie sich davor? Um das herauszufinden, haben wir gemeinsam mit T-Systems die Security-Verantwortlichen der Austrian Reporting Services GmbH, Schrack Technik Gruppe sowie der Wienerberger AG zum Cyber-Security-Gespräch eingeladen.

Gemeinsam mit Thomas Masicek, bei T-Systems in Österreich und der Schweiz für das Thema Cyber Security verantwortlich, begrüßte monitor.at Christian Pfundner, CIO der Schrack Technik Gruppe, Christoph Schacher, der bei der Wienerberger AG für Cyber Security und Datensicherheit bzw. Datenschutz zuständig ist, sowie Christian Wiesener, Cyber Security Officer der Austrian Reporting Services GmbH (AuRep), dem Partner der Österreichischen Banken und Finanzdienstleister für das Meldewesen an die Aufsichtsbehörden, zu einem Round Table mit dem Thema Cyber Security.

Es bleibt alles anders

Auch wenn in den letzten Jahren neue Technologien und Methoden auf der Bildfläche aufgetaucht sind, so ist die Bedrohungslage laut den versammelten Experten im Kern doch die gleiche geblieben. Eine positive Entwicklung gibt es jedoch zu verzeichnen: Der Stellenwert von IT-Security ist gestiegen. "Früher war das anders. Die Security wurde erst nachher dazu gerufen. Das hat sich heute geändert. Man sollte Security von Anfang an bei der Planung der Architektur mitberücksichtigen", so Christian Wiesener.

Das bedeutet aber nicht, dass die "bösen Jungs" nichts dazugelernt hätten. Es stimme zwar, dass die Kernbedrohung relativ identisch geblieben sei, bestätigte Thomas Masicek von T-Systems. "Aber die Qualität dahinter und die zeitliche Nähe zwischen dem Bekanntwerden einer neuen Schwachstelle und ihrer systematischen Ausnutzung sind ganz anders. Waren wir vor drei Jahren noch bei mehreren Wochen sind wir jetzt teilweise schon bei wenigen Stunden. Da mithalten zu können und schnell genug zu reagieren ist für die IT eine immer größere Herausforderung", erklärte der Cyber-Security-Experte. Neben der gestiegenen Qualität von Malware und dem damit verbundenen höheren Aufwand für Incident Response müsse auch die höhere Abhängigkeit der Unternehmen vom Internet-Zugang und von Cloud Services bedacht werden. Masicek: "Durch die Abhängigkeit von der Verbindung zu den Cloud-Services nehmen auch durch Cyber-Angriffe verursachte Betriebsausfälle zu."

 

"Security soll nicht heißen, dass
alles zu hundert Prozent zugesperrt sein muss."


- Thomas Masicek, T-Systems

Ein Fuß in der Tür

Um einen Fuß in die Tür zu bekommen, bedienen sich Kriminelle immer öfter weniger technischer, als vielmehr zwischenmenschlicher Methoden. "Wenn Sie mich fragen, was uns in den letzten Jahren massiv verändert hat und was in den letzten Jahren zugenommen hat, dann sind das Social Attacks. Wir haben vor drei Jahren begonnen, die Awareness dafür im Haus aufzubauen", erzählte beispielsweise Christian Pfundner. Zu Beginn hätte laut dem Schrack-CIO zwar der Glaube vorgeherrscht, man wäre als Ziel zu uninteressant. Nachdem aber entsprechende Berichte von anderen, vergleichbaren Firmen aufgetaucht wären, hätte ein Umdenken eingesetzt: "Daraufhin ist unser Management hellhörig geworden und hat mit einer beeindruckenden Geschwindigkeit begonnen zu analysieren, welche Dinge wirklich kritisch sind. Das sind typischerweise zwei Dinge: an Credentials zu kommen, um Daten absaugen zu können, und auf der anderen Seite Zahlungsströme auszulösen." Die Konsequenzen, die man bei Schrack gezogen hat: Neben Investitionen in "technische" IT-Security wird auch auf Prozessebene für Sicherheit gesorgt – zum Beispiel durch intensive Mitarbeiterschulung.

Auch für die Wienerberger AG sind sind die Mitarbeiter einer der Schlüssel für die Informationssicherheit. "Im Dreieck zwischen Prozessen, Technologie und Menschen haben für mich die Menschen sehr, sehr große Bedeutung. Denn die Social-Engineering-Varianten werden immer ausgefeilter. Die nötige Awareness zu schaffen ist eine große Herausforderung. Wir haben ein weltweites Programm aufgezogen, um Mitarbeiter für solche Themen zu sensibilisieren", sagte Christoph Schacher und ergänzte: "Das ist besonders wichtig, denn die Menschen spielen eine sehr große Rolle, wenn ich an Prozesse und Technologien denke. Sie sind diejenigen, die diese Prozesse umsetzen und die Technologie nutzen. Die schönste Technologie nützt nichts, wenn sie umgangen wird, weil man zum Beispiel in der Cloud schnell etwas zukauft."

Bild: Eva Puella Photography
Christoph Schacher (Wienerberger), Thomas Masicek (T-Systems), Christian Wiesener (AuRep) und Christian Pfundner (Schrack Technik Gruppe) nach dem Gespräch (v.l.n.r.).
Bild: Eva Puella Photography

Aus Fehlern lernen

Apropos umgangen: Der zuvor erwähnte Fuß in der Tür muss nicht unbedingt und ausschließlich metaphorisch verstanden werden. Oft genug handelt es sich um einen echten Fuß, der sich auch von keinem Anti-Virus und keiner Firewall aufhalten lässt.

"IT-Security muss klassisch die Technik absichern. Aber der vermeintliche DHL-Mann oder der Pizzalieferant geht einfach durch die Tür. Wenn er weiß, dass der Geschäftsführer gerade nicht da ist, geht er in sein Büro, steckt einen Keylogger an und die Sache ist gegessen. Es gibt leider so viele Facetten. Einen Teil kann man technisch abdecken, ich kann die Leute auf der Prozessebene schulen, ich brauche eine physische Barriere", lenkte Christian Pfundner die Aufmerksamkeit auf einen nicht minder wichtigen Aspekt.

Ein weiterer wichtiger Aspekt ist auch, Fehler nicht rigoros abzustrafen, sondern aus ihnen zu lernen. Christian Wiesener: "Die Mitarbeiter dürfen keine Angst haben. Nach dem Motto: Ich habe irgendwo draufgeklickt und sage es lieber niemandem. Das ist ganz schlecht. Besser ist es, offen zuzugeben wenn ein Problem passiert ist."

Thomas Masicek fasste zusammen: "Die typischen Betrugsgeschichten von früher gibt es jetzt in einer digitalisierten Version. Man nutzt also einerseits Social Engineering mit neuen Technologien, verknüpft mit ganz alten Betrugsmaschen. Im B2B geht es teilweise um sehr große Summen, da sind auch die Schäden für die Unternehmen schnell sehr groß. Das kann wirklich jeden treffen, egal ob er eine ganz ‚analoge‘ Produktion hat, die überhaupt nicht in Verbindung mit der IT steht, oder ob er komplett von IT durchdrungen ist."

Ebensowenig, wie man alle seine Türen versperren und niemanden hinein- oder hinauslassen kann, kann man seine IT komplett abschotten. Geschäftsbeziehungen laufen heute großteils digital und teilweise automatisiert. IT-Security darf das nicht blockieren. Das ist auch eine der Herausforderungen, denen sich Christoph Schacher stellen muss: "Ein großes Thema für uns ist, die Security erlebbar und im Unternehmen als Partner wahrnehmbar zu machen – nicht nur als Bremser, der alles aufhält."

Genau das ist dem T-Systems-Experten Masicek zufolge die Kunst: das Business nicht zu behindern sondern zu unterstützen. Denn wenn man es behindere, dann würde Security schnell wieder abgedreht. "Security soll nicht heißen, dass alles zu hundert Prozent zugesperrt sein muss, denn dann kann man nicht mehr arbeiten, sondern, dass ich ein angemessenes Sicherheits-Management für meinen Geschäftsbetrieb implementiert habe."

Zurücklehnen und in falscher Sicherheit wiegen darf man sich hinsichtlich Cyber Security auf jeden Fall niemals. Schön in einen Satz gepackt hat das Christian Pfundner: "Zu glauben, dass man wirklich sicher ist, ist gefährlich." Trotz der im Kern, wie anfangs festgehalten, ähnlichen Bedrohungslage hat sich in den vergangenen Jahren viel getan und sowohl die Qualität als auch die Geschwindigkeit der Angriffe hat zugenommen. Passend dazu lieferte Christian Wiesener das Schlusswort: "Security ist etwas, dass lebend ist, sich ständig wandelt und anpassen muss. Sie ist nichts Starres."

Mehr Artikel zum Thema: Security Round Table

Mit CASB sicher in der Cloud

Cloud Computing boomt. Die Vorteile der Wolke sprechen für...

Weiterlesen

Neues IAM-Modell MIRA schont Ressourcen

Wachsen Unternehmen, verkompliziert sich die Verwaltung von...

Weiterlesen

"Unternehmen sollten in blöde Ideen investieren."

Die digitale Transformation hat Auswirkungen auf jedes...

Weiterlesen

Marx macht die Cloud sicherer

Irene Marx steigt ab sofort als Area Manager Alpine beim...

Weiterlesen

Freundsberger folgt auf Marx

Cyber-Security-Anbieter Fortinet hat einen neuen...

Weiterlesen

WP: Schwachstellen automatisch erkennen & patchen

Spätestens seit WannaCry und NotPetya hat sich die...

Weiterlesen

Sieben IT-Risiken, an die niemand denkt

NTT Security, das auf Sicherheit spezialisierte Unternehmen...

Weiterlesen

"Unsere Krypto-Software muss sicher und zuverlässig sein"

Kryptowährungen spielen eine immer größere Rolle, sind daher...

Weiterlesen

Zugriff verweigert. Bitte geben Sie ihr Passwort ein.

Citrix Austria Country Manager Wolfgang Mayer über den...

Weiterlesen

Automation Voraussetzung für Cloud-Erfolg

Automation ist der entscheidende Faktor, der den...

Weiterlesen

Stress führt zum Datentod

Laut einer Umfrage der Datenretter von Kroll Ontrack sind...

Weiterlesen

Konica Minolta lädt zum OPEN House

Konica Minolta lädt zum Tag der offenen Tür. Den Start macht...

Weiterlesen

Managed Security vs. Crime as a Service

IT-Sicherheit ist nicht rein digital, sondern hat auch...

Weiterlesen

it-sa mit neuen Rekorden

Die it-sa verzeichnet zur diesjährigen zehnten Ausgabe neue...

Weiterlesen

Eines für alle oder alles von einem?

Wie hat sich der ERP-Markt entwickelt, wie sieht es mit dem...

Weiterlesen

WP: Schwachstellen automatisch erkennen & patchen

Spätestens seit WannaCry und NotPetya hat sich die...

Weiterlesen

Was können Unternehmen von der Tour de France lernen?

Während der 21 Etappen des Radrennens wurden laufend...

Weiterlesen

SEC Consult goes Silicon Valley

Das auf IT-Security spezialisierte IT-Beratungsunternehmen...

Weiterlesen

Wenn Firmengeräte auf Reisen gehen

Immer öfter landen auch Firmen-Handy oder -Laptop im...

Weiterlesen

Auswirkungen der KI auf die Arbeitswelt

Die Digitalisierung und die neuen technologischen...

Weiterlesen