Digitale Vernetzung, IoT und künftig auch KI bringen viele neue Möglichkeiten und Chancen für Unternehmen, aber auch viele neue Bedrohungen und Risiken für deren Sicherheit. Die Kommunikation nach außen läuft zunehmend automatisiert über eine rasant wachsende Anzahl an Devices ab, die ihrerseits wiederum auf unterschiedlichste Web-Dienste zugreifen. Produktionsmaschinen oder medizinische Geräte werden immer mehr zu Software-Systemen, die in heterogene Landschaften integriert werden müssen. Gleichzeitig werden die Cyber-Crime-Strategien weiterhin immer professioneller. Wie behält man da den Überblick in Sachen Security und wie schafft man die Balance zwischen Sicherheit und Risiko?

Darüber baten wir gemeinsam mit unserem Co-Host T-Systems eine hochkarätige Runde von CIOs und Digital Executives zum Roundtable: Mit am runden Tisch diskutierten: Werner Aumayr (AMAG), Klaus Brandt (MARK Gruppe), Stephan Eisschiel (Landwirtschaftskammer OÖ), Erich Feichtenschlager (gespag), Eric-Jan Kaak (EMCO-TEST), Werner Kerschbaumer (Welser Profile), Thomas Masicek (T-Systems Austria), Andreas Obermüller (Schachermayer), Christian Ott (Banner) und Kurt Rosivatz (Johannes Kepler Universität/aktuell TU Wien). Moderiert wurde der Roundtable von Michael Dvorak, Herausgeber von DIGBIZ LEADER Media & CIO GUIDE.

Fotos: Sabine Kneidinger/DIGBIZ LEADER Media


„Die echten Risiken entstehen im Kerngeschäft, bei uns im Produktionsbetrieb. Wenn man eine Anlage kauft, bekommt man nicht nur Motoren und Elektrik mitgeliefert, sondern auch integrierte Steuerungssysteme.“

WERNER AUMAYR

CIO AMAG Austria Metall GmbH

„Die echten Risiken entstehen im Kerngeschäft, bei uns im Produktionsbetrieb. Wenn man eine Anlage kauft, bekommt man nicht nur Motoren und Elektrik mitgeliefert, sondern auch integrierte Steuerungssysteme.“

WERNER AUMAYR

CIO AMAG Austria Metall GmbH
Weiterlesen

„Zum Teil sind diese Steuerungssysteme heute sehr intelligent, zum Teil, vor allem bei älteren Maschinen, lässt sich jedoch gar nicht abschätzen, ob sie sämtliche aktuelle Security-Anforderungen adäquat abdecken. Da stellt sich dann die Frage, wie ich dort eine Attacke erkenne, und ob und wie man die Anlage abschottet.

Eine Erkenntnis ist noch immer aktuell: Der größte Risikofaktor ist der Mensch. Es ist weitaus einfacher für Angreifer persönliche Schwachstellen der Mitarbeiter über Social Engineering auszunutzen oder aus einem Unternehmen einen PC mitgehen zu lassen, weil die Büros und die PCs nicht ausreichend abgesichert sind, als irgendwelche SSL-Verschlüsselungen auszuspähen.“

Schliessen

„Das Thema Security ist bei unserer Digitalisierungsstrategie vom Start weg bei allen Schritten ein wichtiger Aspekt und eine klare Anforderung unserer Geschäftsleitung.“

KLAUS BRANDT

Head of Information Management and Technology MARK Group

„Das Thema Security ist bei unserer Digitalisierungsstrategie vom Start weg bei allen Schritten ein wichtiger Aspekt und eine klare Anforderung unserer Geschäftsleitung.“

KLAUS BRANDT

Head of Information Management and Technology MARK Group
Weiterlesen

„Als klassischer Produktionsbetrieb haben wir gemeinsam mit unserer Geschäftsleitung vor eineinhalb Jahren mit der Entwicklung einer Digitalisierungsstrategie begonnen und sind noch mit dem „Aufholen“ beschäftigt und mit grundlegenden Thematiken wie Verfügbarkeiten.

Eine Herausforderung dabei ist es, das Personal „mitzunehmen“ und unter anderem auch Security-Bewusstsein zu schaffen. Und eine andere große Herausforderung sind unsere ungefähr 120 Produktionsmaschinen der unterschiedlichsten Anbieter, von brandneuen bis hin zu solchen, die 25 Jahre alt sind. Ganz zu schweigen von den unterschiedlichsten Steuerungssystemen.“

Schliessen

„Eine hohe Bewusstseinsbildung der Mitarbeiter für Datenschutz und Datensicherheit ist bei uns ein zentraler Ansatz.“

STEPHAN EISSCHIEL

Leiter Organisation und IT Landwirtschaftskammer Oberösterreich

„Eine hohe Bewusstseinsbildung der Mitarbeiter für Datenschutz und Datensicherheit ist bei uns ein zentraler Ansatz.“

STEPHAN EISSCHIEL

Leiter Organisation und IT Landwirtschaftskammer Oberösterreich
Weiterlesen

„Das galt auch schon vor der DSGVO, weil die Daten unserer Mitglieder und Kunden der Kernbereich unserer Tätigkeiten sind. Gleichzeitig dürfen wir nicht vergessen, dass IKT-Systeme für unsere Mitarbeiter und Kunden einen Support-Prozess darstellen. Hier sind vernünftige Kompromisse notwendig. Wir verzichten zum Beispiel auf die Versendung von regelmäßigen E-Mails zu Datenschutz und Security. In der Mail-Flut sinkt die Lesebereitschaft zunehmend.

Stattdessen muss jeder unserer Mitarbeiter regelmäßig ein Online-Schulungsprogramm zum Thema Datenschutz und Informationssicherheit mit einem abschließenden interaktiven Quiz durchführen. Die Schulungsinhalte sind komplett mit Bildern, Sprache und einer Portion Humor umgesetzt.“

Schliessen

„IT Security Services wie ein Security Operations Center werden wir nicht mehr zur Gänze selbst erbringen können, unter anderem weil die Angriffsstrukturen immer vielfältiger und komplexer werden.“

ERICH FEICHTENSCHLAGER

Leiter IT-Technologie/Gesundheitsinformatik gespag Oberösterreichische Gesundheitsholding

„IT Security Services wie ein Security Operations Center werden wir nicht mehr zur Gänze selbst erbringen können, unter anderem weil die Angriffsstrukturen immer vielfältiger und komplexer werden.“

ERICH FEICHTENSCHLAGER

Leiter IT-Technologie/Gesundheitsinformatik gespag Oberösterreichische Gesundheitsholding
Weiterlesen

„Wir setzen deshalb auf Kooperationen im Gesundheitsbereich oder auf Partnerschaften am Markt. Alleine kann man das nötige Know-how intern weder schnell genug aufbauen noch laufend am letzten Stand halten. Selbst wenn jeder das intern übernehmen würde, wären die nötigen Mitarbeiter mit den erforderlichen Skills auf dem Markt nicht vorhanden.

Auch in der Medizintechnik sind die Hersteller der medizintechnischen Geräte mittlerweile zunehmend Software-Hersteller geworden. Deshalb wird auch hier Security by Design immer wichtiger, also die Security-Anforderungen schon bei der Entwicklung zu berücksichtigen.“

Schliessen

„Um Security-Anforderungen wieder ins Design reinzunehmen, dafür fehlt vielerorts das Know-how.“

ERIC-JAN KAAK

CIO/Chief Innovation Officer EMCO-TEST Prüfmaschinen

„Um Security-Anforderungen wieder ins Design reinzunehmen, dafür fehlt vielerorts das Know-how.“

ERIC-JAN KAAK

CIO/Chief Innovation Officer EMCO-TEST Prüfmaschinen
Weiterlesen

„In Abstimmungs-Meetings sitzt sowohl bei uns als auch beim Kunden immer öfter die IT mit am Tisch, weil bei den Maschinen die Software immer entscheidender wird. Das Problem dabei ist, dass viele Maschinen- und Gerätebauer diese Software nicht mehr selbst schreiben, sondern das an externe Spezialisten ausgelagert haben und am Ende nur noch die Maschinen assemblieren.

Viele Firmen haben Legacy-Systeme, die 15, 20, 30 Jahre alt und dementsprechend gewachsen und miteinander verzahnt sind. Für mich drängt sich der Vergleich mit kalten Spagetti auf, die so ineinander verstrickt und verhaftet sind, dass sie sich nicht mehr auseinander ziehen lassen. Wenn man da irgendwo in einem Subsystem etwas ändert, kann das die ganze Bude in die Luft sprengen. Das wirkt auch auf den Security-Bereich.“

Schliessen

„Wenn man das ganze Unternehmen technisch völlig abschottet, ist man zwar sicher, aber nicht handlungsfähig.“

WERNER KERSCHBAUMER

CIO/CDO Welser Profile Beteiligungs GmbH

„Wenn man das ganze Unternehmen technisch völlig abschottet, ist man zwar sicher, aber nicht handlungsfähig.“

WERNER KERSCHBAUMER

CIO/CDO Welser Profile Beteiligungs GmbH
Weiterlesen

„Man kann das Netzwerk zu kontrollierbaren Inseln abschotten. Bei einer Anlage selbst, die man mit einem Steuerungssystem kauft, ist allerdings oft gar nicht bewusst, welche Systeme da drinnen stecken. Es ist fast nicht möglich, dass die IT die Komplexität eines ganzen Werkes vollständig in den Griff bekommt. Man kann nur darauf achten, dem Ganzen einen möglichst sicheren Rahmen zu geben. Entscheidend ist, dass man die Risiken kennt und priorisiert und in Security dort investiert, wo es kritisch ist.

Beim Thema Security by Design stoßen wir an Grenzen: Für Spezialmaschinen, wie wir sie benötigen, gibt es nur eine sehr begrenzte Zahl an Anbietern. Denen zum Beispiel beim Design spezifische Security-Anforderungen vorzugeben, ist in der Praxis kaum möglich.“

Schliessen

„Die IT-Landschaft eines Unternehmens wird immer komplexer: Alle möglichen Devices und Sensoren sammeln Daten und verbinden sich direkt mit dem Internet.“

THOMAS MASICEK

Country Security Officer und Head of IT & Cyber Security T-Systems Austria

„Die IT-Landschaft eines Unternehmens wird immer komplexer: Alle möglichen Devices und Sensoren sammeln Daten und verbinden sich direkt mit dem Internet.“

THOMAS MASICEK

Country Security Officer und Head of IT & Cyber Security T-Systems Austria
Weiterlesen

„Das bedeutet, dass die Sicherheit nicht mehr nur im Netzwerk, sondern im Device selbst integriert werden muss. Daran hakt es jedoch noch oft. Deshalb benötigt ein Unternehmen einen Überblick über seine Risiken: Was kann passieren, wenn ich dieses Devices irgendwo reinhänge, auf welche Plattformen und Daten hat es Zugriff?

Eine sichere Zukunftsarchitektur neu aufzubauen, ist zweifellos eine Herausforderung. Aber ich kenne große Organisationen, die Opfer eines Angriffes wurden und jetzt die gesamte IT erneuern müssen, weil jeder Server und Switch manipuliert sein kann. Wenn man zu spät auf aktuelle Bedrohungen reagiert, kann das wirklich teuer werden.“

Schliessen

„Die DSGVO hat uns in manchen Dingen schon einen Strich durch die Rechnung gemacht.“

ANDREAS OBERMÜLLER

CTO Schachermayer

„Die DSGVO hat uns in manchen Dingen schon einen Strich durch die Rechnung gemacht.“

ANDREAS OBERMÜLLER

CTO Schachermayer
Weiterlesen

„Vor allem die Cloud als Lösungsvariante wurde für uns da und dort torpediert, weil wir eigentlich eher unkritische Themen wie zum Beispiel Office365 dorthin auslagern wollten. Unsere Juristen hatten dabei allerdings ihre Bedenken, weil die Dinge eben doch nicht immer so klar und unproblematisch sind wie sie in manchen Sales-Präsentationen teilweise dargestellt werden.

Es tut sich technologisch so viel wenn es um die Entwicklung und Orchestrierung von neuer Software und zum Beispiel um Themen wie RESTful Webservices geht. Da muss man sich sehr genau ansehen, welche Security-Anbieter dazu wirklich tiefes Know-kow und den Durchblick bei komplexen Security Maps haben. Wenn da ganz am Anfang der Programmierer einen Fehler macht, ist das eine ziemliche Herausforderung den zu finden.“

Schliessen

„Wir betreiben schon seit einigen Jahren ein umfassendes IT Risiko Management.“

CHRISTIAN OTT

CIO/CDO, Bereichsleitung Informationsmanagement, Organisation und Digitalisierung Banner GmbH

„Wir betreiben schon seit einigen Jahren ein umfassendes IT Risiko Management.“

CHRISTIAN OTT

CIO/CDO, Bereichsleitung Informationsmanagement, Organisation und Digitalisierung Banner GmbH
Weiterlesen

„Für ein mittelständisches Unternehmen mit 500, 1.000 oder 1.500 Mitarbeitern und einer Reihe von Niederlassungen – in unserem Fall sind es europaweit 30 – ist es aus meiner Sicht nicht mehr möglich, die Komplexität von IT-Services 7×24 effektiv abzudecken. Wir geben die Basis-Services, darunter auch Security-as-a-Service deshalb an Partner ab, die beim jeweiligen Thema die nötige hohe Kompetenz haben. Das, was man allerdings noch immer und gerade dann selbst übernehmen muss, ist es dazu zunächst einmal die Risiken zu identifizieren und zu bewerten.

Das Thema Security ist aber nicht wie oft behauptet ein Hindernis für neues Business und für Innovationen, allenfalls eine Bremse.“

Schliessen

„Man kann die Forschung nicht technisch abschotten und den Admin-Zugang eines forschenden Professors sperren.“

KURT ROSIVATZ

Leitung Informationsmanagement Johannes Kepler Universität Linz / aktuell Leitung IT Solutions – Strategisches IT Management TU Wien

„Man kann die Forschung nicht technisch abschotten und den Admin-Zugang eines forschenden Professors sperren.“

KURT ROSIVATZ

Leitung Informationsmanagement Johannes Kepler Universität Linz / aktuell Leitung IT Solutions – Strategisches IT Management TU Wien
Weiterlesen

„Spätestens, wenn einmal irgendjemand einen Drucker „übernimmt“ und darüber ein politisches Pamphlet sendet, gibt es allerdings die Erkenntnis, dass der freie Zugang auch bedeutet, dass man einigermaßen offen im Internet steht. Daher ist es wichtig, die Awareness der User für das Thema Security zu fördern und Beispiele für Risiken und Bedrohungen, insbesondere für Social Engineering, aufzuzeigen.

Die durch die Forschung bedingte Offenheit verschafft einem aber  auch einen Vorteil. Man erkennt Bedrohungen, wie etwa DDoS-Attacken, meist sehr früh, weil umfangreiche Uni-Netzwerke gerne für Probeangriffe genutzt werden. Aus solchen Attacken lassen sich mit der nötige Expertise wertvolle Erkenntnisse schöpfen.“

Schliessen