SECURITY ALS DIGITAL BUSINESS ENABLER

„Ich kann weder fachlich noch was die Ressourcen angeht, bis ins Kleinste alles vorab einschätzen, was ich von einem Partner oder auch aus der Cloud beziehe. Wir definieren unsere Anforderungen so weit wie möglich, ab einem gewissen Punkt muss ich aber darauf vertrauen, dass der Zulieferer sorgfältig arbeitet.

Natürlich versucht man dieses Restrisiko zu minimieren. Etwa, indem man vertraglich genau festlegt, wer für die Daten verantwortlich ist, aber genauso indem man am Markt screent, welche Kunden mit welchen Lösungen und Zulieferern schon schlechte Erfahrungen gemacht haben.“

„Wie dieses Lernen Entscheidungsprozesse beeinflusst, ist für uns derzeit bei Machine Learning Algorithmen nicht mehr einfach nachvollziehbar. Wir können Machine Learning mit dieser Geschwindigkeit und dieser Fülle an Informationen kaum mehr zeitnahe plausibilisieren.

Damit ist es aber auch nur sehr schwer nachzuvollziehen, wenn die Daten von außen manipuliert werden. Ab wann läuten Alarmglocken, wenn ein intelligentes System mit seinen Prognosen immer wieder falsch liegt, weil möglicherweise das interne Wissen bösartig manipuliert wurde?“

„Neue Technologien bieten nicht nur neue Möglichkeiten in Bezug auf Performance und Funktionalität, sondern bringen ebenso einige Hausaufgaben mit sich, die es zu lösen gilt. Eine Airline beispielsweise muss auch mit einplanen, dass Flugzeuge eine Wartung benötigen. Diese Wartungstätigkeiten gehören gut geplant und in den Produktionsprozess mit integriert.

Hier müssen sicher auch die Hersteller der Lösungen noch nacharbeiten und z.B. wie bei Firewalls ein Online-Upgrade ermöglichen oder produktionskritische Geräte auch als redundantes System ausführen. Backend-Systeme wie zentrale SAP-Systeme sind ja schon lange so designed. Wichtig sind jedoch auch kompensierende Maßnahmen, damit der Zeitraum zwischen Bekanntwerden einer neuen Schwachstelle und dem Einspielen des Patches überbrückt werden kann. Dazu gehören beispielsweise auch Micro-Segmentation und vor allem ein sauberes Zonenkonzept.“

„Mit welchen Cloud-Instanzen wird gearbeitet? Gibt es da Kundendaten? Wie ist das Identity Management? Besonders sensibel wird es, wenn es eine Anbindung an unsere Syteme gibt und wenn Kundendaten im Spiel sind. Dann wird in jedem Fall ein eingehende Kontrolle durch unser Security Team durchgeführt und eine Freigabe erst dann erteilt, wenn alle Anforderungen erfüllt sind.

Man muss Security aber auch mit Augenmaß betreiben und mit dem entsprechenden Risikomanagement kombinieren. Manchmal heißt es Dinge zuzulassen, die die Sicherheit vielleicht nicht einfacher, aber dafür das Ganze in Summe besser machen.“

„Weil es die Produktion und natürlich auch das Wissen, das in den R&D-Daten steckt, vor Cyber-Attacken übergreifend zu schützen gilt: Wo endet der eine Bereich, wo beginnt der andere, und wie sind die Schnittstellen gestaltet?

Vor kurzem hatten wir zum Beispiel die Anforderung eines Kunden aus Fernost, eine Bi-direktionale Schnittstelle zwischen ihrer Public Cloud-Lösung und unserer ERP- Lösung zu implementieren – wie reagiert man da als IT? Um die Risiken zu minimieren, haben wir die Produktionssysteme auch vom Office-Netzwerk getrennt.“

„Natürlich gibt es bei uns laufend Krisenmanagement-Übungen, damit wir im Notfall sofort und automatisiert agieren können. Man darf sich jedoch nicht nur auf die digitalen High-Level-Themen fokussieren und darüber zum Beispiel drauf vergessen, dass man Umspannwerke in der ganzen Steiermark auch physisch schützen muss. Da nützt mir auch das beste SOC nichts.

Und wir müssen auch andere potenzielle Einfallstore auf dem Radar haben, für die wir nicht selbst verantwortlich sind. Zum Beispiel, dass der Zählerlieferant aus Deutschland, Frankreich oder der Schweiz seine Zähler so absichert, dass nicht jemand mit seinem USB Stick dort Daten abziehen oder über irgendeine Schnittstelle ins System gelangen kann.“

„Das heißt, jedes Rollenbild, in unserem Fall das der Pfleger ebenso wie das der Ärzte, muss mit IT-Input so angereichert werden, dass die eigene Arbeit unterstützt und nicht eingeschränkt wird. Schulungen alleine reichen dazu allerdings nicht, dazu muss man auch in neue Produkte investieren … und die dann auch integrieren.

Wenn man in einen Computertomographen investiert, geht man davon aus, dass solch ein Gerät 20 Jahre im Medizin-Netzwerk in Betrieb sein wird. Dafür braucht es zukunftsfähige offene Schnittstellen. Wenn das Gerät, wie in der Medizintechnik aufgrund von Durchläufen bei den Zertifizierungen nicht selten, dann mit bereits veraltetem Betriebssystem ausgeliefert wird, ist das ein Problem.“

„Die IT muss heute Security-Lösungen designen, die ganz auf das Business und die jeweils konkreten Szenarien ausgerichtet sind und die mit dem Business Schritt halten können. Dazu gehören auch genau definierte, extrem agile Rollback-Verfahren: Wenn etwas schief geht, muss ich binnen kürzester Zeit zurückgehen und wieder mit dem alten Release fahren können. Man hat ja auch nicht die Zeit, vorab alles umfassend auszutesten.

Natürlich sind Risikobewertung und Business Continuity für uns strategische Themen: Was kann und was darf passieren? Wie lange kann ein Werk, ein Bereich oder ein Service stehen? Um das Risiko generell zu minimieren, haben wir die Netzwerke in kleine undurchlässige Einheiten segregiert, die im Notfall quasi wie bei Schiffsschleusen voneinander abgeschottet werden können.“