Die große Umfrage: IT-Sicherheit

Die große Umfrage: IT-Sicherheit Foto: Thinkstock

Cyberattacken nehmen massiv zu und erfolgen immer zielgerichteter auf bestimmte Unternehmen oder Personen. Trotz modernster Schutzmechanismen bieten sich insbesondere durch das Internet der Dinge unzählige Angriffspunkte für Kriminelle. Ob und wie Sicherheit überhaupt möglich ist, hat Report(+)PLUS bei ExpertInnen nachgefragt.

1.Wie kann Sicherheit in einem Netz intelligenter Systeme gewährleistet werden?

Franz Hoheiser-Pförtner, Stv. Obmann des Vereins Cyber Security Austria

Maschinelles Lernen ist eng mit dem Konzept der künstlichen Intelligenz verbunden und hat ein fundamentales Problem: die Qualität der Informationen, die beim Training von neuronalen Netzwerken verwendet wird. Künstliche Intelligenz ist jedoch (noch) nicht in der Lage, Vernunft, Emotionalität, Empathie sowie Kreativität umzusetzen. Künstliche Intelligenz hat kein Verständnis für Zusammenhänge und Hintergrundwissen ist ihm fremd. Maschinelles Lernen, künstliche Intelligenz und der Einsatz von neuronalen Netzwerken sind wie eine »Black Box«, bei der die Nachvollziehbarkeit der Berechnungen, die zu einer Entscheidung führen, nur sehr wenigen Personen möglich ist. Bei allen Erfolgen von künstlicher Intelligenz, die durch zukünftige Entwicklungen immer mehr unseren Alltag bestimmen wird, scheint mir aber ganz wichtig zu sein: Blindes Vertrauen kann gefährlich sein, auch intelligente Algorithmen sollten kritisch im Auge behalten werden.

Ingrid Schaumüller-Bichl, Leiterin des Information Security Compliance Center (ISCC) der FH OÖ

In Anbetracht der zunehmenden Vernetzung und Komplexität wird es von entscheidender Bedeutung sein, Sicherheit zu einem inhärenten Bestandteil aller Systeme zu machen. Egal ob Großrechner, Cloud-Lösungen, Mobile Devices oder kleine Komponenten und Sensoren im IoT, für sie alle müssen Sicherheitsfunktionen – möglichst transparent und benutzerfreundlich – bereits im Systemdesign vorgesehen werden und integraler Bestandteil der Systeme sein. In Anlehnung an den Begriff »Privacy by Design«, den wir aus dem Datenschutz kennen, können wir hier von »Security by Design« sprechen.

Christian Pfundner, CIO der Schrack Technik GmbH

Im Zeitalter der Digitalisierung und damit einhergehend der Bildung immer offenerer technischer Ökosysteme sind Sicherheitsaspekte ein kritischer Erfolgsfaktor für alle Beteiligten. Klar ist, dass konventionelle Sicherheitsansätze der IT, z.B. auf Netzwerkebene, nicht ausreichen werden. Es müssen vielmehr Geschäfts- oder Produktionsprozesse selbst abgesichert werden, wobei hier Ansätze der Anomaliedetektion und Mustererkennung auf Prozessebene einen möglichen Weg darstellen könnten.


2.Gegen welche Bedrohungen müssen sich Unternehmen in nächster Zeit wappnen?

Franz Hoheiser-Pförtner

Die Berichte zu Sicherheitsvorfällen wie WannaCry, NotPetya und Spectre im Jahr 2018 zeigen, dass Ransomware sowie Hardware-Sicherheitslücken als massive Gefährdung auch weiterhin vorhanden sein werden. Ein weiterer neuer Angriffsvektor liegt beim illegalen Krypto-Mining. Die Betreiber von kritischen Infrastrukturen sind verstärkt im Fokus von Cyber-Bedrohungen. Diese Gefährdungspotenziale machen deutlich, dass die Cyber-Sicherheit in einer immer mehr digitalisierten Welt noch stärker betrachtet und beachtet werden müssen. Österreich und Europa müssen in den Fragen »security and privacy by design« und »security and privacy by default« eine Vorreiterrolle einnehmen.

Ingrid Schaumüller-Bichl

Es ist damit zu rechnen, dass die »Klassiker« wie Malware, Angriffe auf Web-Applikationen, Phishing, CEO-Frauds, Spams oder Ransomware auch in den kommenden Jahren noch die größten Herausforderungen für Unternehmen darstellen werden und professionelle Gegenmaßnahmen erfordern.

Dazu kommen aber zunehmend neue Bedrohungen und Herausforderungen, die sich aus den neuen Technologien ergeben. Wesentlich höhere Bandbreiten, das IoT, autonome Systeme oder Artificial Intelligence sind mächtige Instrumente, die unserer Gesellschaft viele neue Möglichkeiten und Chancen bieten. Gerade deshalb sind sie aber auch verwundbar und müssen rechtzeitig und effizient geschützt werden

Christian Pfundner

Wir sehen, dass neben stetiger »technischer« Angriffe soziale Attacken in den letzten Monaten massiv zugenommen haben. Immer neue Varianten von E-Mail-basierten Versuchen, entweder an Zugangsdaten der Mitarbeiter zu kommen oder aber Überweisungen auszulösen, werden an uns weitergeleitet. Wichtig ist hier ein klar definierter und kommunizierter Incident-Response-Prozess, um im Fall der Fälle schnell reagieren zu können, sowie eine Unternehmenskultur, die Mitarbeiter dazu motiviert, potenzielle Sicherheitsvorfälle sofort zu melden.


3.Ist der Mensch die größte Schwachstelle?

Franz Hoheiser-Pförtner

Der Mensch ist gleichzeitig Konsument und auch Erzeuger von Informationen. Die Grenzen zwischen den handelnden Personen und Organisationen verschwimmen. Digitalisierung birgt einerseits das Potenzial, den Zugang zu Informationen und damit den Bildungszugang zu erleichtern und Chancengleichheit zu steigern. Andererseits müssen wir tatsächlich alle Menschen mit den notwendigen Kompetenzen ausstatten, um sie zu »Digital Natives« zu machen.

Die Erfassung und Verknüpfung riesiger Datenmengen ist inzwischen nicht nur technisch möglich, sondern bildet auch einen gewaltigen Markt. Erfasst wird längst nicht mehr nur das Surfverhalten am heimischen PC oder auf dem Smartphone, sondern jede Handlung, die digital abgebildet ist. Und mit der fortschreitenden Digitalisierung aller Lebensbereiche werden immer mehr personenbezogene Daten aus ehemaligen Offline-Bereichen gesammelt. Vollständige Datenverfügbarkeit ist keine Illusion mehr, sondern nur noch eine Frage der Vernetzung.

Ingrid Schaumüller-Bichl

Natürlich gibt es viele Angriffe, die Unwissenheit, Bequemlichkeit, sehr oft aber auch die Hilfsbereitschaft von Menschen ausnutzen. Sicherheitsbewusstsein und entsprechende Schulungen sind daher von immenser Bedeutung. Die größte Schwachstelle sind für mich aber nach wie vor veraltete, schlecht oder gar nicht gewartete und gepatchte Systeme, dazu kommen oft fehlendes Risikomanagement und unklare Verantwortlichkeiten.

Ein gut funktionierendes Sicherheitsmanagement ist die wesentliche Voraussetzung für den sicheren Einsatz von IT, das umfasst sowohl technisch-organisatorische als auch menschliche Aspekte. Nur durch ein Gesamtkonzept und permanente Verbesserung kann Sicherheit dauerhaft gewährleistet werden.

Christian Pfundner

Was als größte bzw. bedrohlichste Schwachstelle wahrgenommen wird, ist sicherlich von Unternehmen zu Unternehmen verschieden. Fakt ist, dass der Mensch im Gegensatz zur Maschine für soziale Attacken empfänglich ist und technische Möglichkeiten der Schadensverhinderung für solche Fälle weniger gut anwendbar sind. Gut geschulte Mitarbeiter sind jedoch potenziell in der Lage, als weit gespanntes Netz von Sensoren zu wirken, welches »neue« Bedrohungen intelligent erkennt und an die Sicherheitsverantwortlichen im Unternehmen rückmeldet.

 

back to top