Wir alle wissen es: Die Digitalisierung macht die Sicherheit eines Unternehmens zu einer immer komplexeren Herausforderung. Immer mehr Komponenten, Risiken, potenzielle Angriffspunkte und Zusammenhänge gilt es auf dem Radar zu haben. Gleichzeitig wird Geschwindigkeit immer mehr zum entscheidenden Faktor im Digital Business. Muss Security damit spätestens jetzt also zwangsläufig zum oft zitierten Hemmschuh und K.O.-Kriterium für neue Geschäftsmöglichkeiten werden? Oder hat sie eine Chance, mit dem immer schnelleren Business Schritt zu halten? Und wenn ja, wie?

Darüber baten wir gemeinsam mit unserem Co-Host T-Systems eine hochkarätige Runde von CIOs und Digital Executives zum Roundtable: Mit am runden Tisch diskutierten: Manfred Gussmagg (Rosendahl Nextrom), Mohammad Halawah (ams AG), Markus Klug (SSI Schäfer), Thomas Masicek (T-Systems Austria), Christian Neugebauer (AVL List), Markus Sackl (Allnex ), Rupert Schindler (Energie Steiermark), Christian Schwarzgruber (Privatklinik der Kreuzschwestern) und Kurt Siegl (Magna). Moderiert wurde der Roundtable von Michael Dvorak (Herausgeber von DIGBIZ LEADER Media & CIO GUIDE).

Fotos von Marija Kanizaj/DIGBIZ LEADER Media.


„Vor allem als KMU stoße ich mit Security by Design auch an meine Grenzen.“

MANFRED GUSSMAGG

Operational Development & ICT Manager Rosendahl Nextrom GmbH

„Vor allem als KMU stoße ich mit Security by Design auch an meine Grenzen.“

MANFRED GUSSMAGG

Operational Development & ICT Manager Rosendahl Nextrom GmbH
Weiterlesen

„Ich kann weder fachlich noch was die Ressourcen angeht, bis ins Kleinste alles vorab einschätzen, was ich von einem Partner oder auch aus der Cloud beziehe. Wir definieren unsere Anforderungen so weit wie möglich, ab einem gewissen Punkt muss ich aber darauf vertrauen, dass der Zulieferer sorgfältig arbeitet.

Natürlich versucht man dieses Restrisiko zu minimieren. Etwa, indem man vertraglich genau festlegt, wer für die Daten verantwortlich ist, aber genauso indem man am Markt screent, welche Kunden mit welchen Lösungen und Zulieferern schon schlechte Erfahrungen gemacht haben.“

Schliessen

„In unseren Schwerpunkt-Bereichen R&D und Manufacturing wird die Digitalisierung immer entscheidender … und auch die Information Security.“

MOHAMMAD HALAWAH

Information Security Manager ams AG

„In unseren Schwerpunkt-Bereichen R&D und Manufacturing wird die Digitalisierung immer entscheidender … und auch die Information Security.“

MOHAMMAD HALAWAH

Information Security Manager ams AG
Weiterlesen

„Und zwar in unserem Fall als Spange über IT und OT. Und da gibt es schon beträchtliche Unterschiede zwischen diesen beiden Bereichen: In der IT ist Security schon lange ein zentrales Thema. In der OT wiederum spielt Realtime eine viel wichtigere Rolle.

Und wie viele andere Unternehmen auch, haben wir es auch mit einer heterogenen gewachsenen Systemlandschaft zu tun. Deshalb haben wir vor einiger Zeit eine strategische Initiative gestartet, um OT und IT enger miteinander abzustimmen und potenzielle Lücken zu schließen.“

Schliessen

„Mit jedem Tag passen selbstlernende KI-Systeme den Lagerbetrieb adaptiv mit hoher Geschwindigkeit an die geänderten Bedingungen an … und lernen permanent dazu.“

MARKUS KLUG

Teamleiter Data Science & Simulation SSI Schäfer IT Solutions GmbH

„Mit jedem Tag passen selbstlernende KI-Systeme den Lagerbetrieb adaptiv mit hoher Geschwindigkeit an die geänderten Bedingungen an … und lernen permanent dazu.“

MARKUS KLUG

Teamleiter Data Science & Simulation SSI Schäfer IT Solutions GmbH
Weiterlesen

„Wie dieses Lernen Entscheidungsprozesse beeinflusst, ist für uns derzeit bei Machine Learning Algorithmen nicht mehr einfach nachvollziehbar. Wir können Machine Learning mit dieser Geschwindigkeit und dieser Fülle an Informationen kaum mehr zeitnahe plausibilisieren.

Damit ist es aber auch nur sehr schwer nachzuvollziehen, wenn die Daten von außen manipuliert werden. Ab wann läuten Alarmglocken, wenn ein intelligentes System mit seinen Prognosen immer wieder falsch liegt, weil möglicherweise das interne Wissen bösartig manipuliert wurde?“

Schliessen

„Ich muss in Sachen Security heute ganz anders planen und Maßnahmen treffen als früher.“

THOMAS MASICEK

Head of Cyber Security AT & CH T-Systems Austria

„Ich muss in Sachen Security heute ganz anders planen und Maßnahmen treffen als früher.“

THOMAS MASICEK

Head of Cyber Security AT & CH T-Systems Austria
Weiterlesen

„Neue Technologien bieten nicht nur neue Möglichkeiten in Bezug auf Performance und Funktionalität, sondern bringen ebenso einige Hausaufgaben mit sich, die es zu lösen gilt. Eine Airline beispielsweise muss auch mit einplanen, dass Flugzeuge eine Wartung benötigen. Diese Wartungstätigkeiten gehören gut geplant und in den Produktionsprozess mit integriert.

Hier müssen sicher auch die Hersteller der Lösungen noch nacharbeiten und z.B. wie bei Firewalls ein Online-Upgrade ermöglichen oder produktionskritische Geräte auch als redundantes System ausführen. Backend-Systeme wie zentrale SAP-Systeme sind ja schon lange so designed. Wichtig sind jedoch auch kompensierende Maßnahmen, damit der Zeitraum zwischen Bekanntwerden einer neuen Schwachstelle und dem Einspielen des Patches überbrückt werden kann. Dazu gehören beispielsweise auch Micro-Segmentation und vor allem ein sauberes Zonenkonzept.“

Schliessen

„Unsere IT Security ist auch bei Innovationen von Beginn an eingebunden, um sich anzuschauen: Was wollt ihr machen?“

CHRISTIAN NEUGEBAUER

CIO AVL List GmbH

„Unsere IT Security ist auch bei Innovationen von Beginn an eingebunden, um sich anzuschauen: Was wollt ihr machen?“

CHRISTIAN NEUGEBAUER

CIO AVL List GmbH
Weiterlesen

„Mit welchen Cloud-Instanzen wird gearbeitet? Gibt es da Kundendaten? Wie ist das Identity Management? Besonders sensibel wird es, wenn es eine Anbindung an unsere Syteme gibt und wenn Kundendaten im Spiel sind. Dann wird in jedem Fall ein eingehende Kontrolle durch unser Security Team durchgeführt und eine Freigabe erst dann erteilt, wenn alle Anforderungen erfüllt sind.

Man muss Security aber auch mit Augenmaß betreiben und mit dem entsprechenden Risikomanagement kombinieren. Manchmal heißt es Dinge zuzulassen, die die Sicherheit vielleicht nicht einfacher, aber dafür das Ganze in Summe besser machen.“

Schliessen

„Die Produktion funktioniert heute nur mit Datenaustausch über alle Segmente hinweg. Und die Security wird da oft zur Herausforderung.“

MARKUS SACKL

Service Manager Hosting & Data Infrastructure Allnex Austria GmbH

„Die Produktion funktioniert heute nur mit Datenaustausch über alle Segmente hinweg. Und die Security wird da oft zur Herausforderung.“

MARKUS SACKL

Service Manager Hosting & Data Infrastructure Allnex Austria GmbH
Weiterlesen

„Weil es die Produktion und natürlich auch das Wissen, das in den R&D-Daten steckt, vor Cyber-Attacken übergreifend zu schützen gilt: Wo endet der eine Bereich, wo beginnt der andere, und wie sind die Schnittstellen gestaltet?

Vor kurzem hatten wir zum Beispiel die Anforderung eines Kunden aus Fernost, eine Bi-direktionale Schnittstelle zwischen ihrer Public Cloud-Lösung und unserer ERP- Lösung zu implementieren – wie reagiert man da als IT? Um die Risiken zu minimieren, haben wir die Produktionssysteme auch vom Office-Netzwerk getrennt.“

Schliessen

„In der Energieversorgung ist Security ein zentrales Thema, um die Versorgungssicherheit zu gewährleisten. Wenn der Strom weg ist, geht gar nichts.“

RUPERT SCHINDLER

Bereichsleiter IT & Telekommunikation Energie Steiermark Technik GmbH

„In der Energieversorgung ist Security ein zentrales Thema, um die Versorgungssicherheit zu gewährleisten. Wenn der Strom weg ist, geht gar nichts.“

RUPERT SCHINDLER

Bereichsleiter IT & Telekommunikation Energie Steiermark Technik GmbH
Weiterlesen

„Natürlich gibt es bei uns laufend Krisenmanagement-Übungen, damit wir im Notfall sofort und automatisiert agieren können. Man darf sich jedoch nicht nur auf die digitalen High-Level-Themen fokussieren und darüber zum Beispiel drauf vergessen, dass man Umspannwerke in der ganzen Steiermark auch physisch schützen muss. Da nützt mir auch das beste SOC nichts.

Und wir müssen auch andere potenzielle Einfallstore auf dem Radar haben, für die wir nicht selbst verantwortlich sind. Zum Beispiel, dass der Zählerlieferant aus Deutschland, Frankreich oder der Schweiz seine Zähler so absichert, dass nicht jemand mit seinem USB Stick dort Daten abziehen oder über irgendeine Schnittstelle ins System gelangen kann.“

Schliessen

„Digitalisierung heißt auch, dass sich traditionelle Rollen ändern und mit digitalen Anwendungen und auch den Risiken, etwa beim Datenschutz, konfrontiert sind.“

CHRISTIAN SCHWARZGRUBER

Leitung IT & Einkauf Privatklinik der Kreuzschwestern GmbH

„Digitalisierung heißt auch, dass sich traditionelle Rollen ändern und mit digitalen Anwendungen und auch den Risiken, etwa beim Datenschutz, konfrontiert sind.“

CHRISTIAN SCHWARZGRUBER

Leitung IT & Einkauf Privatklinik der Kreuzschwestern GmbH
Weiterlesen

„Das heißt, jedes Rollenbild, in unserem Fall das der Pfleger ebenso wie das der Ärzte, muss mit IT-Input so angereichert werden, dass die eigene Arbeit unterstützt und nicht eingeschränkt wird. Schulungen alleine reichen dazu allerdings nicht, dazu muss man auch in neue Produkte investieren … und die dann auch integrieren.

Wenn man in einen Computertomographen investiert, geht man davon aus, dass solch ein Gerät 20 Jahre im Medizin-Netzwerk in Betrieb sein wird. Dafür braucht es zukunftsfähige offene Schnittstellen. Wenn das Gerät, wie in der Medizintechnik aufgrund von Durchläufen bei den Zertifizierungen nicht selten, dann mit bereits veraltetem Betriebssystem ausgeliefert wird, ist das ein Problem.“

Schliessen

„Policies wie ‚Man darf auf keinen Fall in die Cloud‘ funktionieren nicht mehr.“

KURT SIEGL

Vice President Manufacturing Solutions Global IT Magna

„Policies wie ‚Man darf auf keinen Fall in die Cloud‘ funktionieren nicht mehr.“

KURT SIEGL

Vice President Manufacturing Solutions Global IT Magna
Weiterlesen

„Die IT muss heute Security-Lösungen designen, die ganz auf das Business und die jeweils konkreten Szenarien ausgerichtet sind und die mit dem Business Schritt halten können. Dazu gehören auch genau definierte, extrem agile Rollback-Verfahren: Wenn etwas schief geht, muss ich binnen kürzester Zeit zurückgehen und wieder mit dem alten Release fahren können. Man hat ja auch nicht die Zeit, vorab alles umfassend auszutesten.

Natürlich sind Risikobewertung und Business Continuity für uns strategische Themen: Was kann und was darf passieren? Wie lange kann ein Werk, ein Bereich oder ein Service stehen? Um das Risiko generell zu minimieren, haben wir die Netzwerke in kleine undurchlässige Einheiten segregiert, die im Notfall quasi wie bei Schiffsschleusen voneinander abgeschottet werden können.“

Schliessen