HOLISTISCHE IT SECURITY-ANSÄTZE: WIE GELINGT EINE ADÄQUATE INTEGRATION IN DAS BUSINESS?

Patrick Prohaska (IT Infrastruktur & Security @ NÖM AG) im Interview, Teil 2

Während große Unternehmen bis zu einem gewissen Grad die Kraft haben, einige der Multi-Spektrum-Angriffe abzuwehren, können Sie KMUs Ratschläge geben, wie sie mit der sich ständig weiterentwickelnden Bedrohungslandschaft umgehen können?

Es gibt mehrere Ratschläge, welche KMUs befolgen können, um der ständig weiterentwickelnden Bedrohungslandschaft bestmöglich standzuhalten.

Die wichtigsten Ratschläge für KMUs in diesem Kontext sind für mich:

Verwendung von verwalteten Sicherheitslösungen, sog. „Managed-Lösungen“: Hier liegt der Vorteil darin, dass die dafür notwendigen, fehlenden internen Personalressourcen durch externe Teams kompensiert werden können. Man hat dadurch die Gewissheit, dass auch außerhalb der Bürozeiten auf Security-Alarme reagiert wird und diese entsprechend abgearbeitet werden bzw. eine Kommunikations-/Abarbeitungskette in Gang gesetzt wird.

Schulung der Mitarbeiter*innen: Mitarbeiter sind im Security-Kontext in den meisten Fällen das „schwächste Glied der Kette“. Hier ist es wichtig, diese für potenzielle Bedrohungen regelmäßig zu sensibilisieren und auf dem neuesten Stand zu halten.

Implementierung von Multi-Faktor-Authentifizierung: Multi-Faktor-Authentifizierung ist eine einfache und effektive Möglichkeit, die Sicherheit zu erhöhen. Die meisten Online-Dienste und Cloud-Lösungen unterstützen diese Technologie bereits in-place und es sollte in Betracht gezogen werden, diese auch entsprechend zu implementieren.

Regelmäßige Updates und Patches: Es ist wichtig, dass alle Komponenten regelmäßig aktualisiert werden, um bekannte Sicherheitslücken zeitnah zu schließen, vor allem bei Systemen welche direkt dem Internet ausgesetzt sind.

Regelmäßiges, funktionierendes und getestetes Backup: Aktuelle Backups sind die Grundvoraussetzung, um im Fall der Fälle eine Zahlung von Lösegeld im Rahmen von Erpressungsvorfällen vermeiden zu können. Hier ist vor allem essenziell, dass dieses auch regelmäßig getestet wird, um die Funktionsfähigkeit gewährleisten zu können.

Dokumentation: Eine aktuelle System- und Prozessdokumentation über die IT-Landschaft sollte vorhanden sein. Weiters ist empfehlenswert sich auch mit dem Vorgehen im Rahmen von IT-Notfällen zu beschäftigen, damit unter anderem Abhängigkeiten zwischen den einzelnen Systemen bekannt sind, um diese wieder geordnet in Betrieb setzen zu können.

Für KMUs ist daher ebenfalls von Bedeutung, IT-Sicherheit als integralen Bestandteil ihres Geschäfts zu betrachten und angemessene Schritte zum Schutz deren Systeme und Daten zu unternehmen.

Welche sind die wichtigsten Compliance- und Regulierung Trends in 2023? Worauf müssen CIOs jetzt achten?

Der wichtigste Compliance- und Regulierungs-Trend im Jahr 2023 ist die Novellierung der NIS-Richtlinie (Richtlinie für Netz- und Informationssicherheit).

EU NIS2 ist der europäische Rahmen für Betreiber kritischer Infrastrukturen und legt Cyber-Security Mindeststandards in der EU fest. NIS2 (EU 2022/2555) erweitert die Betroffenheit und Pflichten deutlich – ab 2024 müssen daher viele Unternehmen in 18 Sektoren ab 50 Mitarbeitern und 10 Mio. EUR Umsatz Cyber-Security Maßnahmen entsprechend umsetzen.

Der große Vorteil dieser Novellierung für IT-Security Verantwortliche liegt darin, dass der Cyber-Security Mindeststandard vor allem im Bereich der kritischen Infrastrukturen EU-weit angehoben wird und damit die IT-Security Thematik in den Unternehmen noch mehr an Bedeutung und Wertschätzung gewinnt.

Hier ist es wichtig, sich als Unternehmen bereits frühzeitig mit dieser Thematik zu befassen, um spätestens zum Zeitpunkt der Umsetzung in nationales Recht (bis Oktober 2024) eine entsprechende Konformität zu erreichen. Ein entsprechendes Pre-Assessment gemeinsam mit einem geeigneten Umsetzungspartner ist daher absolut empfehlenswert.

Generell sollten sich CIOs laufend über die geltenden Compliance- und Regulierungsanforderungen informieren und sicherstellen, dass angemessene Maßnahmen in diesem Bereich ergriffen werden. Hier ist ein empfehlenswerter Weg, sich laufend mit Kolleg*innen aus dem gleichen Fachgebiet abzustimmen bzw. Networking auf div. zu diesem Themengebiet passenden Events/Fortbildungen zu betreiben.

Patrick Prohaska

IT Infrastruktur & Security

NÖM AG

About

Patrick Prohaska´s Leidenschaft liegt darin, holistische Ansätze für die Bereiche IT-Infrastruktur und Cyber-Security zu konzipieren und die damit verbundenen Ziele und Visionen in die Realität umzusetzen.

Es ist für ihn eine Herzensangelegenheit, sich in diesen Bereichen laufend weiterzuentwickeln, Erfahrungsaustausch zu betreiben sowie andere Menschen/Teams auf ihrem Weg zu begleiten.

Er ist aktuell bei der NÖM AG in seiner Rolle für die Architekturplanung und den Aufbau der IT-Infrastruktur sowie für den Bereich IT-Security verantwortlich. Zuvor war er mehr als 5 Jahre für den Mutterkonzern der ORASIS-Industries Gruppe tätig, zuletzt als Teamleiter für den IT-Infrastruktur- und Sicherheitsbereich.

In seiner Freizeit ist er, als Ausgleich zu seiner Leidenschaft für sämtliche Themen im IT-Bereich, ehrenamtlich als Notfallsanitäter beim Roten Kreuz Niederösterreich tätig.

SAP-SICHERHEIT: WICHTIGE MAßNAHMEN FÜR DEN SCHUTZ SENSIBLER UNTERNEHMENSDATEN

In einer zunehmend digitalisierten Geschäftswelt sind Unternehmensdaten von unschätzbarem Wert. Daher ist es für Unternehmen von entscheidender Bedeutung, ihre IT-Infrastruktur vor potenziellen Sicherheitsbedrohungen zu schützen. Besonders im Fall von SAP-Systemen, die für die Verwaltung sensibler Unternehmensdaten verantwortlich sind, ist eine umfassende SAP-Sicherheitsstrategie von größter Wichtigkeit. Eigne der wichtigsten Maßnahmen zur Gewährleistung der SAP-Sicherheit sind:

1. Aktualisierung und Patch-Management

SAP-Systeme sind komplexe Softwarelösungen, die ständig weiterentwickelt werden, um Sicherheitslücken zu schließen. Es ist unerlässlich, dass Unternehmen regelmäßige Updates und Patches von SAP einspielen, um bekannte Sicherheitsrisiken zu beheben. Ein effektives Patch-Management stellt sicher, dass die SAP-Systeme auf dem neuesten Stand sind und potenzielle Schwachstellen minimiert werden.

2. Zugriffskontrolle und Berechtigungsmanagement

Das Zugriffskontrollmanagement ist von entscheidender Bedeutung, um unbefugten Zugriff auf SAP-Systeme zu verhindern. Unternehmen sollten sicherstellen, dass nur autorisierte Benutzer Zugang zu den Systemen haben und dass die Zugriffsrechte entsprechend den spezifischen Rollen und Verantwortlichkeiten der Mitarbeiter vergeben werden. Ein gesamtheitliches Identity- und Access-Management auch über SAP-Systeme hinaus, ist für eine sichere Zugriffskontrolle unerlässlich. Unterstützend schützt ein effektives Berechtigungsmanagement vor unbefugter Einsicht oder Manipulation sensibler Daten und hilft gesetzlichen Anforderungen an die Unternehmen nachzukommen.

3. Verschlüsselung und Datensicherheit

SAP-Systeme enthalten eine Vielzahl von sensiblen Unternehmensdaten, wie zum Beispiel Kundendaten oder Finanzinformationen. Um den Schutz dieser Daten zu gewährleisten, sollten Unternehmen eine adäquate Verschlüsselungstechnologie einsetzen. Datenübertragungen innerhalb des SAP-Systems sowie zwischen SAP und anderen Systemen sollten verschlüsselt erfolgen, um sicherzustellen, dass Informationen nur von autorisierten Parteien gelesen werden können.

4. Sicherheitsüberwachung und -prüfung

Die Überwachung der SAP-Sicherheit ist ein kontinuierlicher Prozess. Unternehmen sollten Tools und Mechanismen implementieren, um potenzielle Sicherheitsvorfälle zu erkennen und darauf zu reagieren. Dies umfasst die Überwachung von Logdateien, um verdächtige Aktivitäten zu identifizieren, sowie regelmäßige Sicherheitsaudits, um Schwachstellen u.a. in den Berechtigungsstrukturen zu erkennen und zu beheben. Diese Integration der SAP-Systeme in ein gesamtheitliches SIEM ist einer der aktuellen Megatrends im SAP-Security Segment und treibt ihr aktuell einige Innovationen voran.

5. Schulung und Sensibilisierung der Mitarbeiter

Die Mitarbeiter spielen eine entscheidende Rolle bei der Gewährleistung der SAP-Sicherheit. Unternehmen sollten ihre Mitarbeiter regelmäßig schulen und über bewährte Sicherheitspraktiken informieren. Dies umfasst die Sensibilisierung für Phishing-Angriffe, den sicheren Umgang mit Passwörtern, Vermeidung von Social Engineering-Taktiken und die Sensibilisierung für einen geringen Berechtigungsumfang. Je besser die Mitarbeiter für potenzielle Sicherheitsrisiken sensibilisiert sind, desto besser können sie dazu beitragen, diese zu verhindern.

Fazit

Das SAP-Sicherheit-Konzept ist ein Thema von existenzieller Bedeutung für Unternehmen. Durch die Implementierung geeigneter Maßnahmen wie regelmäßige Updates, Zugriffskontrolle, Verschlüsselung, Sicherheitsüberwachung und Mitarbeiter-Sensibilisierung können Unternehmen ihre SAP-Systeme vor Sicherheitsbedrohungen schützen. Ein proaktiver und umfassender Ansatz zur SAP-Sicherheit gewährleistet nicht nur den Schutz sensibler Unternehmensdaten, sondern stärkt auch das Vertrauen von Kunden und Geschäftspartnern in die Sicherheit der Organisation.

Tin Mičević

Business Development Manager SAP

ORBIS Austria GmbH

About

  • Über 8 Jahre SAP-Erfahrung in der gesamtem SAP-Produktwelt (S/4HANA, CX, SuccessFactors, …) in unterschiedlichen Branchen (Automotive, Maschinenbau, Dienstleistung,…).
  • Trusted Customer Advisor in unterschiedlichen spezialisierten und generalistischen Rollen bei den größten SAP-Systemhäuser in DACH-Raum mit dem Fokus auf Mittelstand und gehobenen Mittelstand.
  • Beheimatet in der Südsteieremark, Hobbys sind Fotografie, Squash, Reisen und Kochen.Technik-Enthusiast seit der ersten Stunde, HTBLA Kaindorf (Informatik & Organisation) gekreuzt mit wirtschaftlichen Marktverständnis Fachhochschule Campus02 Graz (Internationales Marketing & Sales)
  • Natürlich auch Wein-Enthusiast, der Südsteiermark geschuldet, freue mich auf den gemeinsamen Austausch am CIO-Summit mit dem passenden Achterl in der Hand!

CYBERRISK-MANAGEMENT – WIE BEKÄMPFT MAN EINE MEHRKÖPFIGE HYDRA?

Mit fortschreitender Digitalisierung durchdringt Informations- und Kommunikationstechnologie nahezu all unsere Lebensbereiche und wandelt sich vom herkömmlichen Automatisierungsinstrument zur universellen Geschäftstechnologie, die mittlerweile das Rückgrat in Wirtschaft, Gesellschaft, Forschung und Verwaltung bildet. Nicht verwunderlich, dass der ‚CyberSpace‘ damit einhergehend auch zum vorrangigen Aufmarschgebiet für Angreifer unterschiedlichster Herkunft und Zielsetzung wird. Doch warum ist dem so?

Um Kunden digitale Dienste großflächig anbieten, die zu Grunde liegenden Informations- und Transaktionssysteme koppeln und so Prozesse durchgängig end-to-end abwickeln zu können, bedarf es einer hohen Systemkomplexität und globalen Vernetzung, allem voran über das Internet. Digitale Systeme sind aber – wie analoge/physische übrigens auch – per se nicht 100 Prozent sicher, dies gilt sowohl für Hardware, Betriebssysteme, Netzwerkprotokolle als auch Applikationssoftware. Schwachstellen als Einfallstore für gezielte Attacken bleiben häufig längere Zeit unerkannt, während Angreifer blitzartig und quasi anonym weltweit operieren können, ohne sich dabei physisch exponieren zu müssen. Gleichzeitig winken den Angreifern hohe „Erfolgspotenziale“, sei es in finanzieller, gesellschaftlicher oder militärischer Hinsicht.

Sind wir dieser Bedrohung nun ohnmächtig ausgeliefert oder haben wir eine Chance, sie zu meistern?

Eine nähere Betrachtung dieser ‚Cyberrisiken‘ liefert uns wertvolle Hinweise: Cyberrisiken sind komplex, (nahezu) unsichtbar und schwer zu „greifen“, nicht deterministisch, schwer abgrenzbar und oft erst spät erkannte Folge langfristiger, gezielter Vorbereitungen. Und doch gibt es häufig verwendete und allgemein bekannte Angriffsmuster, Datenbasen mit zahlreichen bekannten Schwachstellen, Sicherheitsstandards, Methoden und Instrumente, welche uns ‚Good Practice‘ zur Hand geben. Der wichtigste Punkt dabei: Wir können in weiten Bereichen vorbeugen, analysieren, gegensteuern und so das Cyberrisiko beeinflussen.

Der Schlüssel dazu lautet: systematisches CyberRiskManagement.

Dabei geht es darum, die eigenen Dienste und Prozesse entlang der Wertschöpfungsketten im Unternehmen einschließlich sämtlicher Lieferketten durchgängig und systematisch auf mögliche Schadenspotenziale zu prüfen, den ‚Business Impact‘ (monetär) und die Eintrittswahrscheinlichkeit zu bewerten und so ein belastbares Risikoprofil zu gewinnen. Dieses dient als Basis für die individuelle Risikopositionierung und Ableitung einer geeigneter Sicherheitsstrategie.

Die Positionierung regelt, welche existenzbedrohenden Risiken unbedingt zu entschärfen sind, welche mit geeigneten Gegenmaßnahmen auf ein wirtschaftlich tragbares Schadensmaß reduziert werden sollen, welche (punktgenau) über eine Versicherung abgedeckt werden und welche verbleibenden Risiken einfach selbst getragen werden.

Die Sicherheitsstrategie wiederum legt den Maßnahmenplan zur Steuerung der Cyberrisiken fest, mit Fokus auf den ‚Faktor Mensch‘, Organisation/Prozesse und Technologie.

Auch hier leistet ein funktionierendes CyberRiskManagement einen entscheidenden Beitrag: Es lenkt den Sicherheitsfokus auf die gravierendsten Risiken, ermöglicht eine konkrete, monetäre Nutzenbewertung des ‚Impacts‘ der angedachten Sicherheitsmaßnahmen und liefert einen Nachweis über deren Wirksamkeit. Sicherheitsverantwortliche, vor allem aber die Unternehmensleitung, erlangen so Kontrolle über die Risikolage und -beeinflussung – der „Blindflug“ weicht einem „Sichtflug“.

In welchen Zeitabständen sollten Cyberrisiken analysiert und bewertet werden? Und wie muss ein wirksames CyberRiskManagement beschaffen sein?

Wenn Angreifer bestehende Sicherheitslücken statistisch betrachtet nach durchschnittlich 43 Tagen ausnützen, so ist offenkundig, dass eine jährlich einmalige Risikoanalyse zu kurz greift. Aufgrund der extrem hohen Systemkomplexität – meist sind Abertausende IT-Komponenten miteinander vernetzt – stößt eine händische Risikoanalyse an die Grenzen der Machbarkeit bzw. liefert nur ein auf Annahmen basierendes, unscharfes Risikobild. Zudem ist dieser Ablauf ineffizient und vergeudet kostbare Personalressourcen.

Zeitgemäßes, effektives CyberRiskManagement muss daher objektiv, kontinuierlich und somit automatisiert erfolgen und kann so „blinde Flecken“ und gefährliche zeitliche Lücken vermeiden helfen.

Leistungsfähige Digitaltechnologien wie die Künstliche Intelligenz leisten dabei einen entscheidenden Beitrag zur automatisierten Massendatenverarbeitung mit korrelierender Mustererkennung und liefern eine aussagekräftige Situationsanalyse (das Lagebild) nahezu in Echtzeit.

Derartige Systeme fallen nicht unter „Luxus“ oder „nice to have“, sondern sind mittlerweile unverzichtbare Instrumente für ein risikoadäquates, verantwortungsbewusstes Cybersicherheitsmanagement.

Gerald Hübsch

ehem. CIO /Business Angel

About

Gerald Hübsch ist ausgebildeter Elektroniker und Informatiker und war langjährig in der österreichischen wie auch internationalen Energiewirtschaft u.a. als CIO, CPO und CISO tätig. Aktuell begleitet er Unternehmen in der Strategieentwicklung rund um Digitalisierung, Künstliche Intelligenz und Informationssicherheit und berät als Business Angel und Accelerator junge, innovative Technologieunternehmen bei der erfolgreichen Umsetzung ihrer Ideen.

HOLISTISCHE IT SECURITY-ANSÄTZE: WIE GELINGT EINE ADÄQUATE INTEGRATION IN DAS BUSINESS?

Patrick Prohaska (IT Infrastruktur & Security @ NÖM AG) im Interview

Welche Maßnahmen sind erforderlich, um eine adäquate Integration holistischer IT-Security Ansätze in Unternehmen zu gewährleisten?

Um holistische IT-Security Ansätze adäquat zu integrieren sind eine Vielzahl von Maßnahmen erforderlich. Es ist von großer Bedeutung sicherzustellen, dass sämtliche Maßnahmen effektiv und nachhaltig umgesetzt werden.

Für mich persönlich sind Visibilität und Vorbereitung die beiden Schlüsselwörter in der Welt der IT-Security.

Folgende Maßnahmen sind in diesem Kontext, vor allem betrachtet aus der holistischen Sichtweise von Bedeutung:

  • Schulung und Sensibilisierung, da eine adäquate Integration von holistischen IT-Security Ansätzen eine breite Sensibilisierung und Schulung von Mitarbeiter*innen und Führungskräften erfordert.
  • Analyse der Unternehmensanforderungen, damit im Rahmen des IT-Security Konzeptes die spezifischen Anforderungen des Unternehmens in Bezug auf IT-Security integriert/berücksichtigt werden.
  • Regelmäßige Überprüfung und Aktualisierung, da IT-Security ein sich ständig veränderndes Feld ist und Unternehmen ihre Strategien regelmäßig überprüfen und aktualisieren müssen, um den neuesten Bedrohungen Stand zu halten.
  • Implementierung von Technologien je nach Schutzvektor, da die Auswahl der richtigen Technologie und deren Integration in die bestehende IT-Infrastruktur ein wichtiger Schritt bei der Implementierung eines holistischen IT-Security Ansatzes ist.
  • Zusammenarbeit mit externen Experten, um die IT-Infrastruktur laufend auf Schwachstellen zu testen sowie zu verbessern. Die Zusammenarbeit mit externen Experten kann auch dazu beitragen, aktuelle Best Practices und Technologien in die IT-Security Strategie einfließen zu lassen.
  • Implementierung von Kontroll- und Überwachungsmaßnahmen, um sicherzustellen, dass die implementierten Technologien wirksam sind. Überwachung und Kontrolle können durch geeignete Tools und Prozesse gewährleistet werden, um Anomalien bzw. unerwünschte Aktivitäten zu erkennen und zu verhindern.

Die Integration von holistischen IT-Security Ansätzen erfordert daher ein umfassendes Verständnis der Bedrohungen, Risiken und Schwachstellen der IT-Infrastruktur des Unternehmens.

Welche Herausforderungen und Barrieren können bei der Integration holistischer IT-Ansätze in Unternehmen auftreten und wie können diese überwunden werden?

Die Integration von holistischen IT-Security Ansätzen stößt in Unternehmen immer wieder auf Herausforderungen/Barrieren verschiedenster Art. Hier ist es von Bedeutung, diese frühzeitig zu erkennen, um rechtzeitig mit Gegenmaßnahmen gezielt darauf einwirken zu können. Die größte Herausforderung ist meist ein Mangel an Ressourcen wie Zeit, Budget und Personal, da es schwierig sein kann, die dafür erforderlichen Ressourcen für eine effektive sowie effiziente Umsetzung bereitzustellen.

Hier kann entgegengesteuert werden, indem Prioritäten gesetzt werden und die Implementierung des holistischen Ansatzes schrittweise umgesetzt wird. In diesem Kontext ist die Unterstützung seitens der Geschäftsführung unbedingt erforderlich, wofür eine regelmäßige Kommunikation aktueller Themen und entsprechende Überzeugungsarbeit Grundvoraussetzung ist.

Weiters stellt die damit einhergehende Komplexität der IT-Infrastruktur des Unternehmens immer wieder Barrieren auf. Eine Möglichkeit, die Komplexität zu reduzieren, besteht darin, einen ganzheitlichen Ansatz unter Einbeziehung von externen Experten je nach Themengebiet zu verfolgen, da aufgrund des vorliegenden Fachkräftemangels ein interner Aufbau von Fachwissen für KMUs nicht in jedem Themengebiet in einer sinnvollen Art und Weise möglich ist.

Ein weiterer, wichtiger Punkt ist auf Widerstand gegen Veränderungen zu achten, da dies ein häufiges Problem bei der Integration von holistischen IT-Security Ansätzen in Unternehmen darstellt. In diesem Punkt ist oftmals Unwissenheit bzw. fehlendes technisches Grundverständnis der Auslöser. Es ist daher wichtig, die Bedeutung von IT-Sicherheit zu kommunizieren und die Mitarbeiter*innen entsprechend zu schulen bzw. zu sensibilisieren. Ein schrittweiser Ansatz kann dazu beitragen, den Widerstand gegen Veränderungen zu reduzieren, vor allem dann, wenn die Mitarbeiter*innen in den Implementierungsprozess miteinbezogen werden.

Agilität, Kundenorientierung und Geschwindigkeit sind Erfolgsfaktoren in einem hochdynamischen Umfeld. Wie lässt sich das mit Forderungen nach Stabilität, Widerstandsfähigkeit und Cyber-Security unter einen Hut bringen und wie halten Sie die Balance zwischen Produktivität und Sicherheit in Ihrem Unternehmen?

Die Herausforderung besteht darin, eine Ausgewogenheit zwischen Agilität, Kundenorientierung und Geschwindigkeit einerseits und Stabilität, Widerstandsfähigkeit und Cyber-Security andererseits zu finden. Hier kann mit einem ganzheitlichen IT-Security Konzept, welchem eine angemessene Risikobewertung zu Grunde liegt, entgegengesteuert werden. Ein risikobasiertes IT-Security Konzept berücksichtigt die spezifischen Risiken des Unternehmens und priorisiert die Sicherheitsmaßnahmen entsprechend. Es ist wichtig, die Ressourcen dort einzusetzen, wo sie am dringendsten benötigt werden, um eine angemessene Balance zwischen Produktivität und Sicherheit zu erreichen.

Hier gibt es verschiedene Ansätze, welche angewendet werden können, um die Balance zwischen Produktivität und Sicherheit auf ein optimales Gleichgewicht zu bringen:

Zuallererst ist es wichtig, dass Sicherheit als integraler Bestandteil der Unternehmenskultur betrachtet wird. Sicherheitsrichtlinien und Maßnahmen sollten transparent und leicht verständlich sein, um Akzeptanz und Umsetzung zu fördern.

Weiters können automatisierte Sicherheitskontrollen helfen, die Sicherheit zu verbessern, ohne die Produktivität der IT-Mannschaft stark einzuschränken. Externe Experten können hier zusätzlich unterstützen, die Sicherheitsrisiken des Unternehmens zu verstehen und die Implementierung von Sicherheitsmaßnahmen zu begleiten.

Letztendlich geht es darum, eine zum Unternehmen passende Herangehensweise an die IT-Sicherheit zu finden, welche die Bedürfnisse des Unternehmens bestmöglich berücksichtigt.

Im zweiten Teil des Interviews lesen Sie bald mehr über Ratschläge für KMUs und die wichtigsten Compliance- und Regulierung Trends in 2023.

Patrick Prohaska

IT Infrastruktur & Security

NÖM AG

About

Patrick Prohaska´s Leidenschaft liegt darin, holistische Ansätze für die Bereiche IT-Infrastruktur und Cyber-Security zu konzipieren und die damit verbundenen Ziele und Visionen in die Realität umzusetzen.

Es ist für ihn eine Herzensangelegenheit, sich in diesen Bereichen laufend weiterzuentwickeln, Erfahrungsaustausch zu betreiben sowie andere Menschen/Teams auf ihrem Weg zu begleiten.

Er ist aktuell bei der NÖM AG in seiner Rolle für die Architekturplanung und den Aufbau der IT-Infrastruktur sowie für den Bereich IT-Security verantwortlich. Zuvor war er mehr als 5 Jahre für den Mutterkonzern der ORASIS-Industries Gruppe tätig, zuletzt als Teamleiter für den IT-Infrastruktur- und Sicherheitsbereich.

In seiner Freizeit ist er, als Ausgleich zu seiner Leidenschaft für sämtliche Themen im IT-Bereich, ehrenamtlich als Notfallsanitäter beim Roten Kreuz Niederösterreich tätig.

WAS CYBER-RISIKEN MIT DEM WETTER GEMEINSAM HABEN

und wie wir das Management dazu gestalten können

Der Wetterbericht des CyberRisikos

Das Wetter ist ein bisschen wie das CyberRisiko: Beides können wir nur bedingt beeinflussen – aber wir können Maßnahmen und Vorkehrungen treffen, um für uns die Situation günstig zu beeinflussen. Dass wir bei vorhergesagtem Regen die Musikanlange nicht im Freien aufbauen, sagt uns der berühmte Hausverstand, und die meisten Leser dieses Textes werden auch ganz genau wissen, dass bei hohen Risiken, etwa durch eine schwerwiegende Sicherheitslücke, schnell gepatcht werden sollte.

Wer liefert uns das Wissen, um unsere Handlungen zu planen und Maßnahmen zu setzen? So wie der Wetterbericht uns täglich mit aktuellen Messdaten zu Temperatur, Windgeschwindigkeit und Niederschlagswahrscheinlichkeit versorgt, ist das CyberRisiko-Lagebild eine wichtige Informationsquelle für CEO, CIO, CISO oder IT-Manager.

Im Cyber Risk-Management werden Risiken identifiziert, analysiert und bewertet – und in der bildlich gesprochenen Management Zentrale kommt das CyberRisiko-Lagebild zum Einsatz: Es gibt Managern eine klare Vorstellung von den Bedrohungen und eine Einschätzung zur Wahrscheinlichkeit ihres Eintretens. Mit diesem Wissen können bessere Entscheidungen getroffen werden, wenn es darum geht, wo sich finanzielle Mittel und Zeitressourcen konzentrieren sollen.

Welche Anforderungen soll ein Lagebild zum CyberRisiko nun erfüllen? Wir haben, aufbauend auf unserer Erfahrung in der Arbeit, mit CyberRisk-Experten 10 Qualitätskriterien für ein CyberRisiko-Bild ausgearbeitet, von denen wir hier die TOP 3 verraten dürfen:

  1. Objektive Risiko-Kennzahlen
    Ein Lagebild wird erst aussagekräftig, wenn es Kennzahlen zum Risiko liefert. Um Entscheidungen nicht „aus dem Bauch heraus“ treffen zu müssen, braucht es Messgrößen, die aktuell, objektiv, belastbar und vergleichbar sind.
  2. Außen- und Innensicht
    Die Verknüpfung von internem Wissen und extern gemessenen Daten zu validen Kennzahlen ist entscheidend, um ein umfassendes Bild zum Risiko auf mobilen Devices, Clients und Systemen (MDM, Server) zu erhalten.  Während die Innensicht Daten über eigene Systeme, Prozesse und eingesetzte Geräte liefert, steuert die Außensicht Information zu möglichen externen Bedrohungen bei, etwa durch Schwachstellen in Betriebssystemen oder eingesetzten Geräten.
  3. Big Picture für das Unternehmen
    Je größer ein Unternehmen, desto komplexer oft die Strukturen und desto zahlreicher die Vielfalt der eingesetzten Systeme. Für das Management ist es ein großer Vorteil, wenn das Gesamtrisiko in einem gemeinsamen Dashboard ersichtlich ist – unabhängig von Systemen und über unterschiedliche Gesellschaften und Niederlassungen im Konzern hinweg.

Wer wissen möchte, welche Qualitätskriterien darüber hinaus für CEO, CIO, CISO oder IT-Manager wichtig sind – ich freue wenn wir uns bereits vorab darüber austauschen können! (LinkedIn Elmar Jilka). Eine Weiterführung folgt beim CIO Inside Summit durch meinen Beitrag gemeinsam mit CIO/CDO Christian Ott oder in einem Gespräch – ich stehe gerne zur Verfügung!

Elmar Jilka

Gründer & CEO

GENOA – SEQIFY

About

Elmar Jilka ist Experte für CyberRisk & CyberSecurity, CEO der GENOA Group und Gründer von SEQiFY. Bereits mit 18 Jahren hat er automatisierte Managed Services aufgebaut und für 100.000 mobile Geräte eine sichere Kommunikation als Professional ermöglicht. Heute hat er mit SEQiFY eine innovative CyberRisk Management Lösung als Cloud Service am Start. Sein Glaube an Einfachheit und Leichtigkeit setzt sich bei SEQiFY fort: Für IT-Manager werden Risiko Items automatisch analysiert, klassifiziert und transparent visualisiert. Das Ergebnis sind messbare Erfolgsnachweise zur Ableitung von priorisierten Security Maßnahmen auf menschlicher, technischer und organisatorischer Ebene.

Elmar Jilka engagiert sich in internationalen Advisory Boards zu CyberSecurity, benutzt sein Smartphone für alles, fährt Snowboard, erfindet Sicherheitstools, mag bunte Socken und kreiert exzellente Erlebnisse für CIO, CISO und Head of IT.

DIE POTENTIALE VON CHINAS DIGITALER TRANSFORMATION FÜR UNTERNEHMEN

Was können Unternehmen aus anderen Ländern von Chinas digitaler Transformation, vor allem im B2B Bereich, lernen bzw. wo liegen mögliche Hindernisse?

Die wichtigsten Learnings aus China beziehen sich vor allem auf das Mindset, das für die Digitalisierung und für Entwicklungen unabdingbar ist. In China spielen Agilität und Flexibilität eine große Rolle. Auf der einen Seite wird sehr langfristig geplant, beispielsweise mit den Fünf-Jahres-Plänen der Regierung oder den Zehn-Jahres-Initiativen wie Made in China 2025. Auf der anderen Seite treten im Laufe der Umsetzung oft Planänderungen ein, während das Hauptziel immer im Auge behalten wird. Das Zusammenspiel aus langfristigen Visionen, flexiblen Anpassungen und Einfach-Machen-Mentalität führt dazu, dass sich die chinesische Digitalwelt kontinuierlich weiterentwickelt. Agilität ist nicht nur ein Buzzword, sondern sie wird im Alltag wirklich gelebt.

Außerdem ist man in China bei der Gestaltung von Produkten und Dienstleistungen eher pragmatisch als perfektionistisch. Für einen Launch wird nicht gewartet, bis das Ergebnis perfekt ist, sondern ein Minimum Viable Product (MVP) wird einfach auf den Markt gebracht und anhand von Kundenfeedback verbessert und erweitert. Während einige Produkte dabei keinen Erfolg haben, wird aus Fehlern schnell gelernt und es werden wieder neue Produkte und Services entwickelt. Wenn es um Technologien geht, kann in China beobachtet werden, wie wichtig das Thema Video ist und wie es aus dem Geschäftsleben, auch im B2B-Bereich, nicht mehr wegzudenken ist. Dabei gibt es zahlreiche Best Practices aus dem E-Commerce Livestreaming, in dem beispielsweise Maschinenbauunternehmen in China über einen einzigen Video-Livestream mehrere Tausend Bagger, Mobilkräne oder Gabelstapler verkaufen können.

Auch das Recruiting von Personal läuft immer mehr über Video-Apps wie Kuaishou oder Douyin ab, in denen Livestream-Hosts vakante Stellen präsentieren und die ersten Schritte im Einstellungsprozess oder sogar im Onboarding übernehmen. Messen und Veranstaltungen finden ebenfalls zunehmend über digitale Plattformen statt und es hat sich in den letzten Jahren eine starke Annäherung der B2B- und B2C-Bereiche herauskristallisiert, insbesondere im Marketing und Verkauf.

Natürlich kann nicht alles 1:1 von China übernommen werden. Zum Beispiel breitet sich das Liveshopping in Europa zwar kontinuierlich aus, doch es steckt immer noch in den Kinderschuhen. TikTok hat im letzten Sommer seine Pläne auf Eis gelegt, eine Liveshopping-Funktion für Europa einzuführen, weil der große Erfolg in Großbritannien ausgeblieben ist. Für viele Trends sind die europäischen User noch nicht bereit. Wichtig ist allerdings, sich in der eigenen Branche als Early Adopter zu positionieren, indem man schnell und konstant neue Trends ausprobiert. Nach dem Motto „done is better than perfect“ schauen, was die eigene Zielgruppe interessieren könnte und wie man sie für Neues begeistern kann. Denn das ist das, was Unternehmen von Chinas digitaler Transformation in erster Linie lernen können: flexibel und agil sein, einfach machen und dranbleiben.

Alexandra Stefanov

Gründerin

China Impulse

About

Alexandra Stefanov ist Sinologin sowie Gründerin von China Impulse, Autorin des Buchs „Digitalisierung Made in China“, Herausgeberin des Magazins „China im Blickpunkt“ und Host des Podcasts „China Impulse – Zukunftstrends aus dem Reich der Mitte“. Im Rahmen von Vorträgen, Workshops und Beratungen gibt sie Einblicke in die chinesische Digitalwelt und zeigt auf, was wir davon für unsere eigene digitale Transformation in Europa lernen können. Zudem promoviert sie an der Universität Marburg zur Digitalisierung der Automobilindustrie im deutsch-chinesischen Kontext.

 

 

PEOPLE & CULTURE. DAS NEUE ARBEITSVERSTÄNDNIS TRIFFT ALLE – WIRKLICH ALLE.

Zumindest dort, wo Menschen arbeiten.

Warum es Sinn macht, sich als CIO oder Führungskraft mit einem neuen Arbeitsverständnis auseinanderzusetzen

Nicht einmal, wenn die Entwicklung sich errechnen lässt und damit gefühlt vorhersehbar scheint, wie es beim demografischen Wandel der Fall ist, lassen sich Auswirkungen vollständig aufzählen. Und noch weniger gibt es einen Blueprint, wie Unternehmen damit bestmöglich umgehen sollen. Es gilt, Fragen zu beantworten wie „Was bedeutet der Arbeitskräftemangel für uns?“, „Wie sollen mehrere Generationen in einer Organisation geführt werden?“ oder „Wie wird man den Anforderungen der GenZ gerecht?“

Die neue Arbeitswelt bringt jedoch auch Entwicklungen, die nicht vorhersehbar sind. Denn wer hätte sich noch vor ein paar Jahren mit Productivity Paranoia auseinandergesetzt?

Nach dem Microsoft Work Trend Index (https://www.microsoft.com/en-us/worklab/work-trend-index/hybrid-work-is-just-work) haben 80% deutscher Führungskräfte die Sorge, dass ihre Mitarbeiter:innen im Home Office nicht produktiv sind. Die Folge ist ein Boom von Überwachungstools, mit denen Führungskräfte die Online-Aktivitäten ihrer Teams verfolgen können – bis hin zur Cursorbewegung. Die kontraproduktive Auswirkung davon ist, dass Mausbeweger entwickelt wurden und zum Einsatz kommen. Noch einfacher kann Aktivität durch ein laufendes (und stummes) YouTube-Video simuliert werden.

Diese oder ähnliche Entwicklungen wird kein(e) Unternehmer:in hilfreich finden.

Wie kann es also gelingen, die große Chance, die in der neuen Arbeitswelt steckt, zu nutzen?

Der Aufbruch in ein neues Arbeitsverständnis kommt um die Auseinandersetzung „Vertrauen oder Kontrolle“ nicht aus. Bei der Allianz Versicherungs-AG sind die flexiblen Arbeitszeiten ein fixer Bestandteil des hybriden Arbeitens. Doch das ist nur der halbe Teil der Miete. Tatsächlich ist das neue Arbeiten ein Denkmodell, eine Haltung, wie man gemeinsam zusammenarbeitet. Dabei kann die Orientierung „so viel Individualisierung und Flexibilität wie möglich und Standardisierung wie nötig“ hilfreich sein. Damit zollen Unternehmen nicht nur dem Megatrend der Individualisierung (Vgl. Matthias Horx, „Zukunftsreport 2023“, S. 51) ihren Tribut, sondern kann das auch eine Entscheidungshilfe sein, wenn Vereinbarungen der Zusammenarbeit definiert werden.

Mit den nachfolgenden Fragen, die die wichtigsten New Work Konzepte umreißen, können Sie einen Selbsttest für Ihr Unternehmen machen.

Auf einer Skala von 1 – 10: Wie zufrieden sind Sie in Ihrem Unternehmen mit den folgenden Bereichen (10 = sehr zufrieden):

  • Dezentrales Arbeiten: Wie gut unterstützen die technischen Tools das dezentrale Arbeiten? Gibt es ein Regelwerk, wer wie oft im Home Office arbeitet?
  • Community Building: Wie gut gelingt es in Ihrem Unternehmen, ein Zugehörigkeitsgefühl zu schaffen? Welche Maßnahmen setzen Sie? Wie stark fühlen Sie sich an Ihr Unternehmen gebunden?
  • Selbständiges Arbeiten: Wie stark ist die Arbeitskultur durch Eigeninitiative und Übernahme von Verantwortung geprägt? Es gibt einen Unterschied von selbstbestimmt und selbstüberlassen.
  • Work-Life-Blending: Wie viel Freiheit besteht, um sich die eigene Arbeitszeit frei und selbst einzuteilen? Die Grenze von Arbeits- und Freizeit verschwimmt. Es gibt eine Zeit, die gilt es, wertzuschätzen, und zwar für den Arbeitgeber. Das bedeutet aber auch, dass dafür der/die Arbeitnehmer:in verantwortungsvoll mit der Zeit umzugehen hat.

Die Arbeitswelt von heute ist die gute alte Zeit von morgen. Zeit ist kostbar, also gestalten wir sie mit Zuversicht und im gegenseitigen Austausch.

Mit meinen Beiträgen möchte ich einen Diskussionsbeitrag leisten. Ich möchte mit Ihnen in den Dialog gehen. Meine Perspektiven und Einschätzungen sind kein abgeschlossenes Ergebnis, sondern im Gegenteil der Beginn einer Auseinandersetzung mit der entscheidenden Frage, die mich treibt: Welche Rahmenbedingungen braucht es für Arbeitsmodelle von morgen?

Nina Bügler

HR People Team Lead

Allianz Elementar Versicherung

About

Welche Rahmenbedingungen braucht es für Arbeitsmodelle von morgen? Das ist die übergeordnete Frage, die Nina Bügler antreibt. Sie lebt selbst ihr sehr individuelles Arbeits- und Lebensmodell und ist HR Führungskraft in einem Konzern (Allianz Versicherung), Unternehmerin im Nebenberuf (www.dieumsetzerinnen.at), Laienrichterin am ASG, Coach und Beraterin und allem voran Ehefrau und Mutter. Ihre jahrelange Führungserfahrung in den unterschiedlichen HR-Bereichen (zB Recruiting, Talent Management und Training) brachten ihr einen Werkzeug- und Methodenkoffer für Team-Performance. Die Tätigkeiten in unterschiedlichen Unternehmensberatungen haben sie Fokus, Effizienz und Produktivität gelehrt.
Ein Studium der Betriebswirtschaftslehre und ein Studium zu Personalmanagement und Arbeitsrecht bilden ihr Fundament.

BLACKOUT: WAS PASSIERT, WENN ES EINTRITT?

Es ist finster geworden. Ist das der immer wieder kommunizierte Blackout oder nur ein Stromausfall im Grätzl?

Notwendige Informationen dazu erhält man im Radio. Der ORF hat einen gesetzlichen Auftrag, den Sendebetrieb für 72 Stunden aufrecht zu halten. Die beste Quelle für Hinweise ist Ö3.

Was ist nun ein Blackout? Ein Blackout ist ein großflächiger, überregionaler, auch mehrere Länder umfassender, länger andauernder Strom- sowie Infrastruktur- und Versorgungsausfall. Hilfe von außen (anderen Orten, anderen Ländern) ist, anders als bei einem lokalen Stromausfall, nicht möglich.

Es wird unmittelbar finster und die meisten der selbstverständlichen Services stehen ansatzlos nicht mehr zur Verfügung. Wenn bis dahin keine Vorkehrungen für den Fall eines Blackouts getroffen wurden, können diese nun nicht mehr nachgeholt werden. Das unterstreicht die Aussage: „Vorbereitung ist der Königsweg für die erfolgreiche Bewältigung des Blackouts“.

Die Dauer eines Blackouts wird mit maximal 72 Stunden angenommen. In den Einzelgesprächen mit Experten pendelt sich die Einschätzung im Bereich zwischen 12 und 36 Stunden ein.

Was passiert im Detail – ein Überblick

Die bekannte Kommunikation über Mobilfunk, Internet (auch drahtgebunden), aber auch die Festnetztelefonie wird sehr rasch, voraussichtlich schon nach 30 Minuten, ausfallen.

Die Mobilität (außer fußläufig, Scooter oder Räder, ev. Motorräder) bricht durch den Ausfall von Ampeln, Schrankenanlagen, Bahn und Straßenbahn zusammen. Im ländlichen Bereich wird die Individualmobilität möglicherweise mit Einschränkungen funktionieren, in Ballungsräumen ist ein langanhaltendes Verkehrschaos zu erwarten.

Die Versorgung, egal ob Handel, Supermärkte, Tankstellen, Banken, Bankomaten, Apotheken bricht zusammen; ferner stehen ganze Lieferketten und Produktionsprozesse – auch von Lebensmitteln –still.

Logistik und Warenverkehr werden sehr rasch (abhängig von einer vorhandenen Notstromversorgung) ausfallen. Auf Grund des Zusammenbruchs der Mobilität werden Transporte nicht möglich sein.

Schlüsselpersonal, egal ob im Sicherheitsbereich, in der IT, im Gesundheitswesen, im Bildungsbereich oder im öffentlichen Verkehr, bei der Polizei und anderen Blaulichtorganisationen, wird bei Eintritt eines Blackouts und in der Zeit danach vermutlich alles tun, um zu eigener Familie, Kindern, Eltern oder pflegebedürftigen Familienmitgliedern zu kommen.
Solange sich die Versorgungs- und Sicherheitslage nicht wieder einem verträglichen Zustand annähert, werden sie voraussichtlich ihren beruflichen Verpflichtungen nicht oder nur eingeschränkt nachkommen.

Aufgrund der zusammengebrochenen Versorgung wird sich die Sicherheitslage rasch, innerhalb von wenigen Tagen, verschlechtern. Der Schutz durch Polizei und Bundesheer ist begrenzt (siehe Schlüsselpersonal). In Ballungsräumen ist mit Plünderungen und teils chaotischen Zuständen zu rechnen (Herbert Saurugg, Blackout Artikel „heute“ vom 23.04.2022). Auch Ausgangssperren sind vorstellbar oder in Planung.

Ob die Wasserver- und Abwasserentsorgung funktioniert, ist lokal unterschiedlich und nicht immer gesichert. In Wien dürfte sie nahezu überall gesichert sein. (Wiener Zeitung 21.08.2022)

Der Strom ist wieder zurück. Ist alles wieder in Ordnung?

Bedauerlicherweise bedeutet die Tatsache, dass Strom wieder verfügbar ist nicht, dass wieder alles seinen gewohnten Gang gehen kann. Eine Fülle an Services wird über relevante Zeiträume nicht oder nur sehr eingeschränkt zur Verfügung stehen. Mit welchen wesentlichen Themen müssen wir rechnen?

Mit einem Ausfall von elektronischen Geräten ist zu rechnen, da der Zusammenbruch und das Einschalten der Stromnetze zu Spannungsspitzen von mehreren tausend Volt (über sehr kurze Zeiträume), Phasen und Frequenzverschiebungen führen kann. Ebenso betroffen sind dauerlaufende Geräte (Geräte, die 24 Stunden 7 Tage ununterbrochen laufen). Bei diesen Geräten besteht das Risiko, dass sie nach der Wiederverfügbarkeit des Stroms nicht mehr funktionieren (vgl. ausgetrocknete Kondensatoren, blockierte Lager). In der heutigen höchst integrierten digitalen Hochleistungsgesellschaft bedeutet die Möglichkeit solcher Ausfälle ein erhebliches Risiko.

Da auch die Lieferketten wenigstens teilweise zusammenbrechen (Logistik und Produktion) und nicht sicher ist, ob das erforderliche kritische Personal (Schlüsselpersonal) zur Fehlerfindung und -behebung zur Verfügung steht, ist mit massiven Beeinträchtigungen zu rechnen, bis diese Blackout Phase behoben werden kann.

Die Dauer der Ausfälle wird im Bereich von wenigstens Wochen, manchmal auch Monaten erwartet.

Die Kommunikation (Internet, Telefonie [Festnetz und Mobil]) wird voraussichtlich im Bereich von Tagen ausfallen. Es können aber auch an manchen Orten wesentlich längere Ausfälle drohen, sofern elektronische Komponenten ausfallen, die nicht kurzfristig ersetzt werden können.

All das bedeutet, dass weder Kunden, noch Lieferanten, noch Mitarbeiter erreichbar sind. Ebenso stehen Kommunikationen zu Banken, zentralen Systemen außerhalb des Unternehmens sowie aller Cloud gestützten Services nicht zur Verfügung (Mail, Datenspeicher, Services (Virenscanner)).

Die Mobilität wird weiter massiv behindert bleiben, solange (im städtischen Bereich) die Straßen nicht nutzbar sind oder solange die mobilitätsrelevanten Schlüsselarbeitskräfte (Lokführer, Zugbegleiter, Piloten, Busfahrer, Straßenbahnfahrer, Infrastrukturpersonen, IT, etc.) nicht in ausreichender Zahl zur Verfügung stehen. Die Dauer der Beeinträchtigungen wird wenigstens im Bereich von Tagen erwartet.

Die Versorgung ist nicht sichergestellt. Die Kassenterminals von Supermärkten, Tankstellen, Trafiken, Bankomaten etc. sind mit den dazugehörigen zentralen Rechenzentren verbunden. Solange die Kommunikation ausgefallen ist, bleiben diese Einrichtungen geschlossen und damit die Versorgung dramatisch limitiert. Die Dauer von massiven Beeinträchtigungen wird in diesem Bereich von Wochen erwartet.

In der Produktion und Logistik können möglicherweise manche Einrichtungen gar nicht (Glasindustrie, Kunststoffverarbeitung,) oder nur mit großem Aufwand (Papierindustrie, Molkerei, Lebensmittelproduktion…) wieder gestartet werden. Zusätzlich werden alle Unternehmen vom Ausfall von Internet, Kommunikation und IT-Systemen, aber auch der Nicht-Verfügbarkeit von Daten und Services der Cloud sowie Headquarters, dezentralen Produktionen und Lagern in ihrer hoch integrierten Leistungserbringung massiv betroffen sein.

Die Ausfälle werden im Bereich von Logistik, Produktion und Lieferketten erheblich sein und wenigstens Wochen dauern.

Die Schlüsselarbeitskräfte (Feuerwehr, Rettung, Polizei, Ärzte, Pfleger, Spezialisten, Techniker, Handwerker, etc.) werden erst wieder zur Verfügung stehen, wenn die Versorgungs- und Sicherheitslage zumindest einiger Maße wiederhergestellt ist. Sollten diese Personen auch Mobilität für den Weg zum Arbeitsplatz oder für die Ausübung ihrer Tätigkeit benötigen, werden sie zusätzlich bis zu deren Verfügbarkeit keine Möglichkeit haben, ihre Dienststellen zu erreichen bzw. ihren Tätigkeiten nachzukommen.

Die Sicherheitslage bleibt während des Ausfalls von Mobilität, Kommunikation und Versorgung oder der Beeinträchtigung von Wasserver- und Abwasserentsorgung angespannt. In Ballungsräumen ist mit höheren Beeinträchtigungen zu rechnen als in ländlichen Gebieten.

Wie man sich auf ein Blackout vorbereiten kann und worauf dafür im persönlichen Bereich zu achten ist, folgt im nächsten Blog.

Links zum Themenkreis „Das Blackout ist eingetreten“ und „Der Strom ist wieder da“

Herwig Kluger

CIO

WKO Inhouse der WK Österreich

About

Herwig Kluger hat nach seiner Matura bei SIEMENS in Nürnberg eine kaufmännische Ausbildung (Stammhauslehre) abgeschlossen und im Anschluß im Controlling bei der SIEMENS Tochter UHER AG gearbeitet. Seit 1989 ist er in der IT tätig, seit 1990 als CIO in österreichischen Tochterunternehmen verschiedener internationaler Konzerne (PSA, trans-o-flex, Wolseley, Mc Kesson) und in der Inhouse GmbH der Wirtschaftskammerorganisation. Seit 2021 auch für die Themen Blackoutprevention und Krisenresilienz des Unternehmens verantwortlich. Mit März 2023 beendet Herr Kluger pensionsbedingt seine CIO Funktion, arbeitet jedoch im Unternehmen und selbständig im Bereich Blackoutprevention und Krisenresilienz weiter. Herr Kluger ist auch selbständiger Unternehmensberater und geprüfter Mediator.

THE RISE OF AI – IM ANGRIFF UND IN DER VERTEIDIGUNG

ChatGPT hat den Hype um AI („Artificial Intelligence“, oder Deutsch KI – künstliche Intelligenz) ausgelöst – nun ist das Thema allgegenwärtig. So neu ist KI aber nicht: schon lange nutzen Cyber Defense Analysten Werkzeug mit Artificial Intelligence. Nun kommt AI aber auch auf der Gegenseite zum Einsatz: denn auch Hacker nutzen den neuen Trend.

Viele Hersteller brüsten sich schon lange damit: Artificial Intelligence bei der Abwehr von Cyber Angriffen. Ob es nun „Machine Learning“ oder echte „künstliche Intelligenz“ ist, zahlreiche Tools haben Mechanismen eingebaut, die Anomalien erkennen und es den Sicherheitsexperten und Analysten einfacher machen. Denn es gilt, Angriffe zu erkennen und abzuwehren und dafür oft gewaltige Datenmengen zu durchforsten – eine Suche nach der Nadel im Heuhaufen, nach dem einen Datenpunkt, der ein bisschen anders ist, als all die anderen. Vielleicht ist es der eine Benutzer, der sich aus einem selten bereisten Land einloggt, oder aber ein Gerät, mit dem noch nie zuvor gearbeitet wurde, vielleicht in Kombination mit einer verdächtigen IP Adresse oder zu ungewöhnlicher, nachtschlafener Stunde. Wo Analysten früher langwierig nach Korrelationen suchten, können KI-gestützte Tools nahezu in Echtzeit Besonderheiten hervorheben, oder – wenn gewünscht – auch Gegenmaßnahmen einleiten: so können Useraccounts deaktiviert, Netzwerkadressen gesperrt oder Geräte in Quarantäne gesetzt werden. Dabei werden KI-Tools Analysten nicht ersetzen können, denn eine manuelle Nachkontrolle bzw. eine Prüfung auf Fehlalarme (‚false positives’) wird stets benötigt. KI-Tools können aber den Analysten-Job bedeutend einfacher und auch schneller machen – und das werden wir auch brauchen!

Die dunkle Seite der Macht

Denn auch die Gegenspieler rüsten auf – auch auf der dunklen Seite der Macht kommt zusehends Artificial Intelligence zum Einsatz.  Denn ebenso wie Sicherheitsforscher beschäftigen sich auch Hacker seit geraumer Zeit mit den Vorteilen der künstlichen Intelligenz. Aus der Vergangenheit kennt man Videos aus dem Internet, wo Großrechner an Universitäten Barack Obama oder anderen Prominenten auf künstlich gerenderten Videos eigentlich nie gesagte Sätze in den Mund legten (https://youtu.be/AmUC4m6w1wo). Schon ab iOS 11 begannen die Apple Emojies bzw. Memojies zu sprechen – zuerst im Chat und dann auch in Facetime. Wem aber Comic-Eule, Einhorn, oder der legendäre „Pile of Poo“ nicht genug sind: Heute genügt die Rechenleistung jedes Mobiltelefons, um Deep Fakes mit Personen zu generieren, und die Software dazu ist auch schon erhältlich.

Und der eine oder andere soll sich dabei sogar in eine Katze verwandelt haben (https://youtu.be/j3M_Ki5U3TE). Dazu liefern nun ChatGPT und Co den perfekten Text zum Betrugsversuch, in einer beliebigen Sprache: Denn strotzten früher die auf englisch angekündigten Erbschaften des Prinz von Zamunda oder das Bittschreiben der swegalesischen Diktatorenwitwe noch von Rechtschreib- und Grammatikfehlern, so kommen betrügerische E-mails und Anrufe heute in perfektem Deutsch, akzent- und fehlerfrei.

Betrugsversuche mit KI

Die wahre Gefahr geht jedoch weit darüber hinaus: Kamen Betrugsanrufe früher aus dem Callcenter und gezielt an einzelne Personen, kann eine KI eine Vielzahl von Mitarbeitern gleichzeitig anrufen. Sie kann in weiterer Folge dynamisch in Echtzeit auf Situationen reagieren (Anruf 1 scheitert, weil Mitarbeiter XY auf Urlaub ist => Anruf 2: „ich wende mich an Sie, weil Mitarbeiter XY ja auf Urlaub ist“). Was schon auf der menschlichen Seite mit Social Engineering erschreckend ist, wird auf der technischen Seite nicht besser. Angreifer können dynamisch auf Schwachstellen reagieren. Potentielle Opfer können in Echtzeit analysiert werden,  ob sich ein Angriff lohnt und welches finanzielle Potential sich durch eine Attacke realisieren lässt. Und Schadcode kann gezielt on-the-flye generiert werden. Nicht umsonst warnt Gartner, dass bei Angriffen die Zeit von der Kompromittierung eines Unternehmens bis zur Ausnutzung erbeuteten Zugangs dramatisch zurück geht. Eine Tendenz, der auch die SOC Analysten Rechnung tragen werden müssen. Speed is key.

Denn: In vielleicht gar nicht allzu weit entfernter Zukunft werden sich Angriff und Verteidigung in Sekunden, wenn nicht Sekundenbruchteilen, abspielen. Dann zählt nicht die menschliche Analyse und Reaktion im Angriffsfall, sondern es wird zählen, wie gut die Verteidiger ihre Systeme und KIs auf den Angriff vorbereitet haben.

Die Ergänzung menschlicher und künstlicher Intelligenz

Menschliche und künstliche Intelligenz werden sich also in Zukunft ergänzen müssen. Heutige KIs – wie ChatGPT – lernen zum Glück noch vorwiegend aus der Vergangenheit. Und nicht nur darum liegen sie manchmal gewaltig falsch. Es braucht also Kontrolle und Korrektur, die natürliche, menschliche Intelligenz bleibt gefragt: der Job des Cyber Analysten ist keinesfalls gefährdet. Ganz im Gegenteil: hervorragende Analysten werden noch mehr gefragt sein, als bisher. Einige davon vielleicht auch im neuen Job Cyber-Defense-AI-Trainer. In jedem Fall wird sich aber Ihre Art zu arbeiten ändern – wie so vieles andere auch, im Zeitalter der künstlichen Intelligenz.

Christoph Schacher

CISO

Wienerberger

About

Christoph Schacher (https://speaker.schacher.at) ist Information Security Experte und Internationaler Sprecher zu den Themen Cyber Risk Management, Business Continuity und Cyber Security. Christoph ist Mitglied in zahlreichen Sicherheitsforen und -kommittees, unter anderm im CIO Inside Summit Adivsory Board. Er arbeitet als Chief Information Security Officer bei einem der weltgrößten Hersteller für Baustoff- und Infrastrukturlösungen und lebt in Wien.

 

 

MY CAR, MY DATA – DATEN IN UND AUS DEN FAHRZEUGEN

Nur sektorspezifische Regelung für Fahrzeugdaten sichert fairen Wettbewerb

Vielen von uns ist nicht bewusst, dass in Autos Daten gesammelt und mittlerweile oft auch direkt an den Hersteller gesendet werden. Es handelt sich dabei um Daten bzw. Fehlermeldungen, die von einzelnen Steuergeräten produziert werden – und mittlerweile auch um Informationen zum Fahrverhalten bzw. zu Geopositionen.

Auf EU-Ebene wurde in den vergangenen Jahren versucht, den Umgang und die Zugänglichkeit zu den Fahrzeug- bzw. Mobilitätsdaten zu regeln. Im Data Act, dem neuen Datengesetz, werden der Umgang und die Zugriffsrechte für Daten aus allen vernetzten Geräten festgehalten. Diese Regelungen sind naturgemäß sehr allgemein gehalten, sodass sie für smarte Haushaltsgeräte ebenso wie für Fahrzeuge gelten können. 

Breite Allianz für freien Zugang zu Fahrzeugdaten

Speziell im Bereich der Fahrzeugdaten ist diese Regelung allerdings viel zu unspezifisch: Im Rahmen einer breiten Allianz mit 60 Mobilitätsclubs, Organisationen und Unternehmen aus unterschiedlichen Branchen (z. B. Versicherungen, Leasing und Fuhrparkmanagement, Reparatur) hat sich der ÖAMTC bereits an die Europäische Kommission gewandt, um im sogenannten EU Data Act auf die Dringlichkeit einer sektorspezifischen Regelung speziell für Fahrzeuge hinzuweisen.

Freier Zugang zu Fahrzeugdaten und damit faire Bedingungen für alle Beteiligten sollen weiterhin möglich sein. Neutrale Stellen könnten den Zugang zu Fahrzeugdaten ermöglichen und sicher verwalten. Eine Initiative, die dies mit sicherheitsrelevanten Daten umsetzt, ist zum Beispiel SERMI (vehiclesermi.eu).

Sichere und transparente Datenverwendung

Die grundsätzlichen Technologien für Data Sharing und Datenweitergabe sind in der EU ja bereits vorhanden: So unterstützen die Initiativen rund um Gaia-X eine sichere und transparente Datenverwendung. Jetzt gilt es, im Sinne der Initiative „my car, my data“, den freien Zugang zu Fahrzeugdaten weiter zu gewährleisten – denn Dienstleister brauchen Zugang zu Funktionen und Ressourcen aus dem Fahrzeug, um ihre Services entsprechend anbieten zu können. Nur dann werden weiterhin konsument:innenfreundliche Preisen möglich sein und nur dann ist fairer Wettbewerb gesichert. Daher setzt sich der ÖAMTC gemeinsam mit anderen europäischen Mobilitätsclubs weiter klar für eine zusätzliche, sektorspezifische Regelung speziell für Fahrzeuge ein.

Susanne Tischmann

CTO

ÖAMTC

About

Susanne Tischmann ist seit Mitte 2017 als CTO im Öamtc (Österreichischer Automobil und Touring Club) tätig. Davor war sie seit 2000 Leiterin des Nothilfe und Informationsservice, wobei diese Verantwortung auch die IT Verantwortung für die Nothilfe des größten Mobilitätsclubs beinhaltete.

Mit der Übernahme der Verantwortung als CTO wurden auch innerhalb der IT strukturelle Änderungen in Richtung agiler Vorgehensweisen, flacher Hierarchien und rascher Entscheidungen umgesetzt.

Im breit gefächerten Mobilitäts- und Serviceangebot des ÖAMTC ist es wichtig, einerseits die Bedürfnisse der Kunden bestmöglich durch Prozesse und verschiedene Werkzeuge zu unterstützen und dabei auch Raum für das Erproben von neuen Möglichkeiten zu schaffen.

 

 

Zum Newsletter