EXECUTIVE THINKTANK
Der Strategie-Talk & Erfahrungsaustausch für IT-Executives
EXECUTIVE MEDIA COM


RISIKO MANAGEMENT UND SECURITY:

ERKENNEN, VORBEUGEN, AWARENESS –
ABER 100%IGE SICHERHEIT GIBT ES NICHT

best bootstrap web creator software download


Die rasant steigende Anzahl von Cyber-Bedrohungen pro Jahr durch Malware in den verschiedensten Ausprägungen lässt Unternehmen aufhorchen. Professionelle Cyber-Kriminelle finden immer ausgeklügeltere und schnellere Wege, um gängige Sicherheitssysteme zu umgehen. In der „Threat Landscape Study“ des SANS Institute geben 80% der Befragten an, im letzten Jahr Opfer einer Phishing Attacke geworden zu sein. Wie kann man sich gegen Social Engineering, Phishing oder Malware schützen? Was ist die Rolle von Anbietern und offiziellen Stellen? Oder sind die Unternehmen auf sich alleine gestellt? Welche Maßnahmen gibt es bei Zero-Day-Exploits? Und wieviel Sicherheit ist überhaupt heute noch möglich?

Über diese Fragen diskutierte im Rahmen des CIO ThinkTank eine hochkarätige Runde IT-Verantwortlicher: Alexander Aldrian (Knapp), Mircea-Dan Antonescu (Unicredit Leasing), Philipp Blauensteiner (BMI), Martin Buresch (Kwizda), Rudolf Grutschnig, (News Verlag), Ferdinand Habeler (Novomatic), Franz Hoheiser-Pförtner (KAV), Balint Ladanyi (Agfa Healthcare), Wolfgang Mitzner (AIT), Roman Prinz (Checkpoint), Robert Red (EVN) und Stephan Winklbauer (ahw Rechtsanwälte). Moderiert wurde das Gespräch von Andreas Hajek, Mitherausgeber des CIO GUIDE und Experte für digitale Transformation. Eine grundlegende Erkenntnis hat sich in der lebhaften Diskussion herauskristallisiert: Jeder kann Opfer von Cyberangriffen werden, Awareness dafür schafft man nur durch Erfahrungen, die Mitarbeiter bis Vorstand machen. Doch trotz aller Maßnahmen von erkennen, vorbeugen, schulen und Kerngeschäft schützen gibt es keine 100%ige Sicherheit.


„Die Angreifer heute agieren innovativ, zielgerichtet und schnell“

Alexander Aldrian, 
Head of IT Knapp

Die große Herausforderung heute ist die Innovationskraft der Angreifer. Sie gehen zielgerichteter vor und sind viel schneller als früher. Zeit ist heute der entscheidende Faktor: Wie schnell entdecke ich einen Angriff und wie schnell kann ich ihn eingrenzen? Bei Knapp haben wir zwei Mitarbeiter mit Security Skills und wir holen uns auch Know-how über einen externen Berater für unsere Risikoanalysen. Awareness für die kritischen Faktoren von Security erreicht man am besten durch eigene Erfahrungen. Daher machen wir White-Hat-Hacking, wo von den Mitarbeitern bis zum Vorstand alle aus diesen Fällen und den eigenen Reaktionen lernen können. Dabei sind die lokalen Gegebenheiten auch zu beachten: Knapp ist weltweit aufgestellt, daher muss ich das Training auch standortspezifisch machen.


„Geheimnisse darf man nicht an der Außenwand aufheben, sondern im Inneren“

Mircea-Dan Antonescu,
CIO Unicredit Leasing

Auch bei der Unicredit Leasing stellen wir fest, dass es viele Fronten zum Handeln gibt. Wir installieren tausende Richtlinien und der nächste Brandmelder telefoniert nach Hause – wer hat den gecheckt? Für die Zukunft brauchen wir ein neues Verständnis von Informationssicherheit, das zum Teil radikal anders ist als heute. Künftig wird es Modelle geben, wo Menschen keinen Zugang zu gewissen Informationen haben. Diese Ringe von Privilegien werden wir wieder anwenden müssen und die gab es auch schon beim Papierarchiv, zuerst hatte man ein Schloss und dann hat man Schleusen dazu gefügt. Geheimnisse sind demnach nicht an der Außenwand aufzuheben, sondern im Inneren. Der Mitarbeiter geht über eine Schleuse in ein Zimmer wo es kein Internet gibt - keiner wird dort arbeiten wollen. Am Ende werden wir vor einer Welt stehen wo alle sagen, vor 20 Jahren war es viel cooler.
Es wird dafür sicherer sein, aber nicht zu 100%. Man muss mit Zero-Day-Exploits leben und eine Strategie haben, dass man auf einen Status zurückfallen kann. Und das muss man auch dem Vorstand erklären. Denn der darf nicht mit der Erwartung herangehen, dass er den CIO hat, damit nichts passiert. Das ist ähnlich wie beim Tormann, wenn der 9 von 10 Schüssen hält, dann ist er gut. Aber wenn ich ihn nach dem einen erhaltenen Treffer feuere, dann ist das Tor leer.



„Wir unterstützen die Schaffung eines Security-Experten Pools, die in der Krise Firefighter sein können“

Philipp Blauensteiner
Leiter Cyber Security Centers des BMI

Bei uns selbst beginnt die Awareness ganz oben, denn wenn das Management Ausnahmen bekommt, funktioniert es nicht. In diesem Sinn halten wir auch kostenlose Vorträge für die Betreiber kritischer Infrastrukturen, weil der Prophet im eigenen Land nicht immer gehört wird. Statt einer Schulung einmal pro Jahr empfehlen wir, immer wieder Szenarien durchzuspielen: Wie kann ich rasch etwas in Quarantäne bringen? Was mache ich wenn was passiert ist und der Vorstand gerade im Flugzeug sitzt? Solche Notmaßnahmen müssen regelmäßig geübt werden, das wird oft vernachlässigt. Für die tägliche Arbeit muss gelten: Die Administrationstätigkeit ist auf einem eigenen Rechner ohne E-Mail Zugang durchzuführen – da brauch ich nicht groß in Software investieren, aber habe schon viel gewonnen.
Die Vernetzung von operativer und technischer Ebene sehen wir als ganz wichtig an und fördern diese Kontakte, damit in der Krise rasch zusammengearbeitet werden kann. Wir sehen auch, dass es am Markt wenig IT Security Experten gibt, daher unterstützen wir die Schaffung eines Pools, die Firefighter sein können, zum Beispiel in der Industrie. Und nach einem Angriff ist es manchmal auch gut, vor den Vorhang zu treten und zu zeigen, wir haben es geschafft, das zu managen.

„Ein KMU braucht für Cybersecurity Unterstützung von externen Partnern“

Martin Buresch,
CIO Kwizda Holding

Wir sind ein mittelständisches Unternehmen und hier gelten andere Voraussetzungen. Die eigene Unternehmenskultur kommt bei den Eigentümern von Kwizda zum Tragen, aber auch bei den 1.300 Mitarbeitern. Diese sind in sieben sehr unterschiedliche Divisionen geteilt, von Produktion bis Logistik, und die wollen in erster Linie ihr Geschäft erledigen. Sie sind nicht leicht zu überzeugen, Schulungen zum Thema Security zu machen oder gar als Key User zu fungieren. Da sehe ich ganz stark den Faktor Mensch, der hier ins Spiel kommt. Und das gilt ja für die meisten Unternehmen: Alle haben Policies erstellt, aber wer kennt diese? Neben der Kultur geht es vor allem um die Ressourcen. Als KMU sehen wir bei Kwizda keine Möglichkeit, selbst das technologische Know-how für Cyber Security zu erwerben und auch zu halten. Dafür brauchen wir Unterstützung durch externe Partner.

„Selbst nach der Datentrennung gibt es noch Sicherheitslücken, deshalb braucht es umfassendes Mobile Security Management“

Rudolf Grutschnig
Head of Digital CC der Verlagsgruppe News

Wir sind in der Medien- und Marketingbranche zu Hause und hier ist die Verarbeitung von Konsumentendaten absolute Vertrauenssache. Wenn es zum Beispiel um die zielgruppengenaue Ansprache in der Online Werbung geht, hat Datenschutz für uns absolute Priorität. Zum Schutz der Daten vor Manipulation und unzulässigem Zugriff setzten wir in der Verlagsgruppe News viele technische Maßnahmen. Aber nach wie vor ist der Mensch ein nicht zu unterschätzender Faktor in der Kette der Cyber-Security. Die Gutgläubigkeit wird mittels Social Hacking bzw. Social Engineering gezielt ausgenutzt, um Datendiebstahl zu begehen. Die Angreifer tragen dabei heute eher Anzug als T-Shirts, das Bild hat sich geändert, umso schwieriger sind sie zu erkennen. Die Bildung eines unternehmensweiten Sicherheitsbewusstseins ist daher von großer Bedeutung. Entscheidend ist, die Mitarbeiter in der Erkennung von Social Engineering Attacken aufzuklären, im Umgang damit zu schulen und das immer wieder zu üben.

„Was man am eigenen Leib spürt, das bringt Awareness“

Ferdinand Habeler,
CISO Novomatic AG

In der Glücksspiel-Branche ist man ein potenzieller Angriffskandidat im Hinblick auf Geldmanipulation oder dem Versuch, an Algorithmen heranzukommen. Die Angriffe sind heute gezielter und komplexer, sie gehen Richtung Künstliche Intelligenz, automatisiert, selbst lernend und mit schnell wechselnden Bedrohungsszenarien. Wir haben Fälle von gezieltem Social Engineering, da werden Mitarbeiter auf Fachebene in perfektem Deutsch oder Englisch in Detailgespräche über konkrete Projekte verwickelt. Wie geht man damit um?
Der Virenscanner reicht nicht mehr aus, wir gehen Richtung Sandbox, alles was hereinkommt wird analysiert. Früher hat Novomatic mehr auf Externe vertraut, mittlerweile haben wir uns für Security immer mehr eigenes Know-how angeeignet. Wobei der interne Aufwand sehr groß ist, ich brauche eigene Leute, die Signaturen lesen und verändern und testen können, das ist eine riesige Challenge. Um das Bewusstsein von Mitarbeitern bis zum Management zu schulen, hacken wir intern und live. So machen wir Bluetooth-Attacken im Auto, wo wir mithören oder wir dringen in den privaten Google Account ein und zeigen Familienfotos – natürlich alles nur mit Erlaubnis der Betroffenen. Was man am eigenen Leib spürt, das wirkt, die Awareness hat sich enorm gesteigert.

„Man muss die digitale Risiken viel stärker thematisieren, genauso wie jeder den Beipackzettel eines Medikaments lesen sollte“

Franz Hoheiser-Pförtner,
CISO des Wiener Krankenanstaltenverbundes

Das Problem ist die schnelle Ausbreitung von digitalen Bedrohungen. Daher geht es um Erkennen, Vorbeugung unter dem Titel „Was wäre wenn“, zu wissen was ist mein Kerngeschäft und welche Ressourcen kann ich abziehen, um dieses am Leben zu erhalten - beim KAV zum Beispiel OPs. Bei Zero Day Exploits sind wir schon einen weiten Weg gegangen, aber sind noch nicht am Ziel. Es gibt eine Struktur, Kommunikationsdrehscheiben und ein Computer Security Incident Response Team. Das Teilen von Information ist ein wichtiger Faktor. Dazu haben wir auch begonnen, zwischen den Spitälern Think Tanks aufzubauen.
Wir müssen viel mehr über Risiken sprechen, genauso wie man in der Medizin auffordert: Lesen Sie den Beipackzettel. Das haben wir in den letzten Jahren verabsäumt. Verkehrserziehung findet bereits im Kindergarten statt, aber wie gehen Eltern mit ihren Kindern und Tablets um? Es fehlt an digitaler Kompetenz. In Israel geht die Top-Industrie in die Schule um die Kids zu fördern. Ich bin auch Vorstand der Cyber Security Austria und wir werden für die Cyber Challenge heuer einen Beitrag für Kinder machen. Aber wir haben z.B. keine Technologiefolgenabschätzung mehr, weil das letzte Institut ohne Geldmittel zusperren musste. Das ist eine Aufgabe für Staat und die ganze Gesellschaft.

„Der CIO braucht Skills um Risikomanagement bewusst zu machen und voran zu treiben“

Balint Ladanyi,
Manager Service Delivery bei Agfa Healthcare

In der Risikoanalyse darf man nicht auf die Mitarbeiter vergessen. Sie zu erziehen ist am schwierigsten und trotz aller Vorkehrungen bleibt immer das Prozessrisiko, darauf wird oft vergessen. Daher ist Risikomanagement auch eine Frage für die Führungsebene und keine technische Aufgabe. Der CIO braucht die richtigen Skills um das im Unternehmen zu kommunizieren, bewusst zu machen und voran zu treiben.

Wir beobachten bei vielen Spitälern, dass sie deshalb in die Cloud gehen, weil sich dann Externe um alle sicherheitsrelevanten Aspekte kümmern. Die Cyberangriffe sind zwar globalisiert, aber die Verteidigung ist nicht globalisiert, dafür muss jeder selber sorgen. In jedem Land und für jede Branche gibt es unterschiedliche Vorschriften. Als mittelständische Unternehmen haben Spitäler weder Geld noch Know-how, sich selbst um Security zu kümmern. Sie brauchen Partner.

„Wir diskutieren hier auf CIO Ebene aber was ist mit unausgereiften Produkten im Alltag?“

Wolfgang Mitzner,
CIO AIT Austrian Institute of Technology

Beim Thema Security sind die Konsequenzen für die Mitarbeiter oft nicht drastisch genug. Ein Fehler im Verkehr kann den Verlust des Lebens bedeuten, bei einem Virus riskiere ich nur den Verlust der Daten. Vor Weihnachten hatten wir beim AIT massive Phishing Attacken. Ransomware kam über Mails von DHL und die Mitarbeiter haben diese geöffnet, obwohl sie nichts bestellt hatten. Wir haben informiert und die Leute einzeln angerufen: Schon wieder hast du eine Attacke ermöglicht, schon wieder, schon wieder… Damit ist die Awareness gestiegen, weil sie es direkt erfahren haben.

Wir diskutieren hier auf CIO Ebene, aber was ist mit den Menschen und Produkten im Alltag? Consumer-orientierte Technologien werden unsicher und unausgereift herausgegeben. Warum? Es geht nur um die time-to-market, wer macht als Erster den Umsatz. Wer sicher arbeitet, später am Markt ist und vielleicht noch mehr Geld verlangt, wird bestraft. Die EU sollte sich hier stärker positionieren, im Vergleich zur mächtigen Einheit USA tritt sie in Kinderschuhen auf.

„Ziel der Security Maßnahmen ist, möglichst unattraktiv für den Angreifer zu werden“

Roman Prinz,
Vertriebsleiter Checkpoint

Als Anbieter von Security Lösungen sind wir sehr an einem Austausch mit Unternehmen interessiert. Jede Branche hat speziellen Bedarf, so bieten wir eigene Lösungen etwa für Gesundheit oder Energie, also kritischen Infrastrukturen. Wichtig ist uns auch der Austausch mit jungen Menschen, daher haben wir ein Programm für Schulen um digitales Know-how zu fördern und Interesse zu wecken.

Man kann Anwender nicht dauernd in Awareness Trainings schicken. Was man durch Tools unterstützen kann, ist das schrittweise Dazwischentreten, um Ketten oder einen Ablauf zu unterbrechen. Eine weitere Maßnahme ist zu überlegen, wie viele Mitarbeiter ohne aktive Inhalte in Dokumenten leben können, aus unserer Erfahrung sind das die meisten. Jetzt schreiben noch Menschen die Schadprogramme, zukünftig sind es Maschinen. Im Endeffekt geht es immer darum, wie schnell erkenne ich, dass ich betroffen bin? Und das ist heute gar nicht so einfach, denn der Angreifer steckt viel Aufwand hinein um sein Ziel zu analysieren und Social engineering zu betreiben – das ist für ihn ein wirtschaftlicher Faktor, der immer mehr wiegt. Das Ziel aller Maßnahmen ist daher, möglichst unattraktiv für den Angreifer zu werden, weil für ihn der Aufwand zu groß wird.

„Um einen Benchmark für Security zu erstellen, sollten Unternehmen zusammenarbeiten“

Robert Redl,
CIO EVN AG

Bei Security ist mir das Benchmark-Thema wichtig. Wie beurteile ich die Angebote der Hersteller, wie sieht eine mögliche Architektur aus, mit welchen Hauptmaßnahmen agiere ich und what is good enough? Wir tun so, als ob wir die Angebote beurteilen können, diese Diskussion führe ich immer wieder und ich schlage daher einen Austausch zwischen den Unternehmen vor. Es gibt viele offene Fragen: Wie sieht ein Technologie- und Service-Stack für kritische Infrastruktur aus? Was gibt es für Angebote auf dem Markt? Und wieviel Personentage gibt jedes Unternehmen für Analyse und Evaluierung aus, sind das 10, 100 oder 10.000? Betreffend Zero-Day-Exploits sehe ich die große Angst der Hersteller, ob sie offensiv kommunizieren oder den Fix unauffällig im nächsten Update einbauen sollen. Da geht es ja einerseits um Rückschlüsse wo der Fehler ist und andererseits um rechtliche Folgen.
Bei EVN nutzen wir interne und externe Ressourcen wo wir Services zukaufen. Hier möchte ich auch appellieren, dass bezüglich des Vergaberechts etwas geändert werden muss. Denn das Prinzip der drei vergleichbaren Angebote macht in manchen Bereichen keinen Sinn, zum Beispiel bei Security kostet uns das nur kritische Zeit und Aufwand.

„Wir alle wissen, dass Software nie fehlerfrei ist“

Stephan Winklbauer,
Partner ahw Rechtsanwälte

Im privaten Consumer-Bereich wurde die Frage nach Datenschutz in letzter Zeit am Beispiel von Kinderspielzeug stärker diskutiert. Hier geht es um die Verantwortung der Hersteller und die wird sich mit der Datenschutzgrundverordnung der EU grundlegend ändern. Sie zwingt die Hersteller zu privacy by design, das ist Datenschutz durch technische Maßnahmen und privacy by default, das sind datenschutzfreundliche Voreinstellungen. Das gibt es in einem Jahr.

Als Konsument habe ich Anspruch auf ein fehlerfreies Produkt. Das gilt auch für Unternehmen, die Software beziehen. Wobei wir alle wissen, dass Software nie fehlerfrei ist. Kritisch kann das vor allem im Bereich Security werden, wie die Diskussionsbeiträge über Zero-Day-Exploit hier am Tisch zeigen. Schlagend wird es dort, wo wir ins Produkthaftungsgesetz hineinkommen, das ist dann, wenn Schäden am Körper entstehen. Sonst aber sehe ich kaum einen Anspruch nach österreichischem Recht. In den USA ist das übrigens anders.