Was Sie beim CIS Compliance Summit 2022 erwartet

Sichere digitale Zukunft durch beherrschbare Digitalsysteme
DI Helmut Leopold, PhD, Head of Center for Digital Safety & Security, AIT Austrian Institute of Technology

Unsere Informations- und Kommunikationstechnologien (IKT) haben sich zur essentiellen Grundlage für unser wirtschaftliches als auch gesellschaftliches Zusammenleben entwickelt. Die Lösung von großen Problembereichen wie Energie, Gesundheitsversorgung, Verkehrsmanagement, Umgang mit dem Klimawandel, effektive Kreislaufwirtschaften oder auch Effizienzsteigerungen in Produktionsprozessen und globale Sicherheit brauchen effektive digitale Werkzeuge und Infrastrukturen. Gleichzeitig sind wir alle aber auch von diesen Technologieplattformen bereits in einem Ausmaß abhängig geworden, dass unsere Wirtschaft, gesellschaftliches Leben und staatliche Administration ohne funktionierende digitale Infrastrukturen undenkbar geworden sind. Um unsere digitale Zukunft positiv zu gestalten, müssen wir grundlegende neue Wege gehen, um in weiterer Folge unsere Digitalsysteme sicher zu gestalten und zu beherrschen. Vier grundlegend wichtige Ansätze gelten dabei:

1. Security by Design: Digitale Systeme müssen von vornherein so gebaut werden, dass sie höchst widerstandsfähig gegenüber Cyber-Angriffen sind.

2. Einsatz von künstlicher Intelligenz: Da nicht jedes mögliche Angriffsszenario antizipiert werden kann, braucht es neue Methoden zur Erkennung von Cyber-Angriffen.

3. Cyber Incident Sharing: Da Cyber-Angriffe nicht an Unternehmens- oder Ländergrenzen haltmachen, braucht es unbedingt einen Austausch von Daten, Informationen und Erkenntnissen, um Schutzmechanismen gezielt einsetzen zu können.

4. Training und Ausbildung: Bewusstseinsbildung, Schulung und Training von Systementwicklern, Betriebspersonal, aber auch Anwendern ist ebenso ein wichtiger Ansatz. Mit Cyber Ranges – virtualisierten Zwillingen der digitalen Systeme – muss in möglichst realitätsnahen Anwendungsszenarien trainiert werden und entsprechende Fähigkeiten in den Organisationen etabliert werden.

IEC 62443 – „die" Norm für Sicherheit in der industriellen Automatisierungstechnik
Thomas Bleier, CIS Auditor, Geschäftsführer, B-SEC better secure KG

Die Internationale Elektrotechnische Kommission (IEC) entwickelt gemeinsam mit der International Society for Automation (ISA) seit 20 Jahren die Standardreihe ISA/IEC 62443 mit dem Titel "Security for Industrial Automation and Control Systems". Was damals nur für eine kleine Gruppe von Automatisierungstechnikern relevant war, wurde in der Zwischenzeit durch die steigende Bedeutung von OT (Operational Technology) im Bereich der kritischen Infrastrukturen und der Industrie sowie durch Entwicklungen wie Industrie 4.0 und das Industrial Internet of Things für einen wesentlich größeren Personenkreis zum Thema. Die gezielten Angriffe auf Produktionsbetriebe und kritische Infrastrukturen der letzten Jahre haben die Notwendigkeit der Beschäftigung mit dem Thema IT-Sicherheit in diesen Bereichen unterstrichen. Dazu kommt, dass auch seitens der Gesetzgebung und regulatorischer Vorgaben das Thema aufgegriffen wird, und auch hier ist die IEC 62443 eine wesentliche Grundlage für viele dieser Diskussionen, wie beispielsweise die Entwicklung der Zertifizierungsschemata im Rahmen des EU Cyber Security Acts.

Ansätze für ein skalierbares Supply Chain Risk Management
Dr. Thomas Stubbings, MBA, Geschäftsführer, Cyber Trust Services GmbH

Lieferantenrisikomanagement stellt große wie kleine Unternehmen vor stetig wachsende Herausforderungen. Auf der einen Seite wird aufgrund zunehmender Cyber-Risiken in der Supply Chain ein steigender Fokus auf die Cybersicherheitsstandards der Lieferanten und Betreiber notwendig, auf der anderen Seite bewegt sich die Anzahl der wesentlichen und kritischen Lieferanten oft im Bereich der Hunderten und Tausenden. Herkömmliche Lösungen, wie Audits, skalieren nicht und der reine Outside-In Blick automatisierter Lösungen bietet nur einen Teil der notwendigen Informationen. Der Vortrag zeigt neue Ansätze auf, die besser skalieren und sich einfach in bestehende Beschaffungsprozesse integrieren lassen.

From Zero to Hero – das ZeroTrust-Konzept in der Praxis
Erich Dröscher, BA, Expert Security Manager, Raiffeisenbank International AG

Unternehmensressourcen im gallischen Dorf, die Firewalls als klassische Mauer und VPN als bewachtes Zugangstor – in der heutigen Zeit noch immer ein für viele Unternehmen gängiges und verwendetes Modell. Doch wie passt das mit den gestiegenen Bedrohungsszenarien und dem lauten Ruf nach besserer Usability für Unternehmen – vor allem in Zeiten der hybriden Arbeitswelt – zusammen? RBI gibt einen Einblick in die Implementierung des ZeroTrust-Zugangsmodells und der damit verbundenen Vorteile aus der Praxis.

Securing Cloud Services – Integrierte Sicherheitsfunktionen richtig nutzen! Praktische Beispiele inklusive.
Manfred Pascher, Geschäftsführender Gesellschafter und Michael Bendl, Microsoft Azure Solutions Architect Expert, MP2 IT-Solutions GmbH

Cloud Services zählen mittlerweile fast ausnahmslos zum fixen Bestandteil der IT-Infrastruktur in den Organisationen. Dabei ist besonders auf das Erreichen eines hohen Schutzniveaus zu achten. Es gibt zahlreiche Einstellungen und technische sowie organisatorische Empfehlungen um solche Cloud Services wesentlich sicherer zu gestalten – und das oftmals mit wenig Aufwand. Worauf in der Praxis besonders geachtet werden soll, wird in diesem Fachvortrag berücksichtigt. Als eines der Cloud Services ist beispielsweise Microsoft 365 in vielen Unternehmen und Organisationen stark vertreten. Mittels Live-Demo werden Sicherheitseinstellungen an diesem Beispiel praxisbezogen vorgestellt, die das Schutzniveau in der IT-Umgebung erhöhen. Viele weitere technischen und organisatorischen Praxistipps um Cloud Services sicherer zu gestalten, werden in diesem Fachvortrag aufgegriffen.

Operativer Nutzen durch Systemintegration von Business Continuity Management mit Information Security
Eckehard Bauer, MSc, Prokurist Business Development für Sicherheitsmanagement, Business Continuity, Risiko, Security, Compliance und Transport, Quality Austria

Mittels Integration von Business Continuity Management mit Information Security können Effizienz und Effektivität im operativen Bereich einer Organisation stark gesteigert werden. Durch das Zusammenspiel der auf der High Level Structure (HLS) basierenden Standards, wird bereits im systematischen Aufbau des Integrierten Managementsystems der Grundstein für Effektivität und Effizienz gelegt. In diesem Vortrag werden an Hand von operativen Best Practice-Situationen die Basis sowie praktische Nutzenbeispiele einer möglichen Systemintegration aufgezeigt.

Die neue ISO 27001/ISO 27002:2022 und weitere News
Robert Jamnik, Head of Audit Services, CIS

Die ISO 27002:2022 „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen" wurde revidiert und mit Mitte Februar 2022 in überarbeiteter Form veröffentlicht. In diesem Praxisvortrag erfahren Sie die wesentlichen Änderungen sowie Neuerungen und erhalten Antworten auf Fragen, wie etwa: Was sind die großen Neuerungen in der ISO 27001:2022 und ISO 27002:2022? Was bedeuten diese neuen Standards in der Praxis? Wie können bereits zertifizierte Unternehmen den Umstieg auf die neue Version erfolgreich absolvieren?

Bild: Stock Adobe/green butterfly