Dienstag, März 19, 2024
Font size: +

Sichere digitale Zukunft durch beherrschbare Systeme

Unter dem Motto „Warum das Internet of Everything Security of Everything braucht" erwarten Sie bei der Fachveranstaltung "CIS Compliance Summit 2022" (Link) am 20. September 2022 spannende Keynote-Präsentationen, Best Practices und Networking im Austria Trend Hotel Savoyen Wien. Wir haben uns im Vorfeld mit dem Keynote-Speaker DI Helmut Leopold, PhD, Head of Center for Digital Safety & Security am AIT Austrian Institute of Technology, über Digitalisierung, die zunehmende Wichtigkeit von OT-Security und Bewusstseinsbildung unterhalten.


Herr Leopold, Ihr Vortragstitel lautet „Sichere digitale Zukunft durch beherrschbare Digitalsysteme". Können Sie uns das Thema „Digitalisierung" und den aktuellen Status Quo kurz skizzieren?

Helmut Leopold:
Digitalisierung ist per se nichts Neues und es gibt sie – je nachdem welche Perspektive man wählt – seit etwa 20 bis 30 Jahren in Form von Internet, PC und Smartphones. Dass aber nun diverse Maschinen wie z.B. Fahrzeuge, Haushaltsgeräte oder ganze Fabriken miteinander vernetzt werden – das sind im Zuge der Industrie 4.0, der Digitalisierung im Automotive-Bereich und dem Internet of Things (IoT) neue Entwicklungen.

Somit umfasst die Digitalisierung nahezu jedes physische Element – fast alles, ob Autos, Spielzeuge oder Kühlschränke, bekommt sozusagen eine Software und wird mit dem Internet verbunden. Damit entsteht eine weitreichende Abhängigkeit, globale Erreichbarkeit und umfassende Digitalisierung auf vielen Ebenen.

Diese Digitalisierung ist bereits so weit fortgeschritten, dass wir ohne diese nicht mehr arbeiten, Auto fahren und mittlerweile auch nicht mehr leben können – denn Gesellschaft und Wirtschaft sind unabdingbar davon abhängig geworden. Das lässt sich auch an aktuellen Entwicklungen in Hinblick auf Ukraine oder China und damit verbundener Chipknappheit bzw. Energieabhängigkeit erkennen. Digitalisierung zusammengefasst heißt für mich also: Software, die Teile der Funktion übernimmt und eine Verbindung mit dem Internet herstellt – dadurch entsteht eine globale Erreichbarkeit von allen Elementen.

Aktuell häufen sich Angriffe auf die betriebliche Cyber Security geradezu – worauf ist dies zurückzuführen? Können Sie globale Trends beobachten z. B. in Zusammenhang mit der aktuellen Dynamik bzw. der Krise?

Helmut Leopold:
Bis dato war die Digitalisierung meist unter Anbetracht aller Neuerungen und Möglichkeiten positiv konnotiert, galt als innovativ und fortschrittlich. Heutzutage erkennen wir mehr und mehr die wachsenden Herausforderungen und die damit verbundene Frage, wie wir Digitalsysteme „beherrschbar" gestalten können. Also einerseits, wie wir uns vor Cyber-Kriminalität oder Datenspionage bzw. -missbrauch von außen schützen können, aber andererseits auch nach innen, wie man – unter Anbetracht der jeweiligen Supply Chain und allen Stakeholdern – Abhängigkeiten beherrschen kann.

Durch die zunehmende globale Vernetzung werden Systeme viel angreifbarer, das war vor fünf oder zehn Jahren noch nicht so. Früher hatten Betriebe z. B. einen natürlichen Schutz, da sich Unternehmen ihre Systeme selbst gebaut haben und diese nicht sofort mit dem Internet verbunden waren. Wenn jedoch alle weltweit die gleiche Software bzw. das gleiche System der „Big Player" nutzen, wie es heute immer mehr der Fall ist, gibt es für potenzielle Angreifer weitaus mehr Möglichkeiten, Angriffe zu starten bzw. für solche international zu üben. Das gilt auch für potenzielle Bedrohungsszenarien für kritische Infrastrukturen, wie wir es täglich erleben – etwa zuletzt am Beispiel der Cyberattacke auf das Land Kärnten.

Welche Rolle spielt beim Blick auf die Zukunft auch das Thema „OT-Security" und warum wird dieses Thema immer wichtiger?

Helmut Leopold:
In der „klassischen IT-Welt" gibt es bereits einen sehr hohen Reifegrad an Verständnis, Know-how, Experten und Expertinnen. Hier gibt es gewisse Standards und allgemein ein hohes Niveau an Professionalität – auch in der Abwehr, beispielsweise durch regelmäßige Updates.

In der anderen Welt, der „Technik- bzw. OT-Welt", also der Welt der Steuerungstechnik, Technik im Safety-Bereich, Maschinen für z. B. Kraftwerke, herrschen andere Logiken, Voraussetzungen und andere Abläufe. Ein Flugzeug kann beispielsweise nicht Freitagabends upgedatet werden, wie es in der „Büro-IT" gängig ist. Die Digitalisierung ist im OT-Bereich aus anderen Gründen, wie der Reduktion von Wartungskosten durch remote-Wartungen, vorangetrieben worden und es entstehen andere Angriffs- und Bedrohungsszenarien.

Die OT-Security in Einklang mit der IT-Security zu bringen, ist eine große Herausforderung für die gesamte Wirtschaft und alle Stakeholder. Die jeweils unterschiedlichen Kulturen, Systemverantwortlichkeiten und Ausbildungen müssen dringend harmonisiert werden. IT- und OT-Verantwortliche müssen enger zusammenarbeiten, auch Prozessabläufe und Systemgrenzen müssen gemeinsam neugestaltet werden, um eine höhere Resilienz der Gesamtsysteme gegen Cyber-Bedrohungen zu erreichen.

Welche Relevanz schreiben Sie der Bewusstseinsbildung und Schulung der Mitarbeitenden zu?

Helmut Leopold:
Häufig sind bei Cyberangriffen unzureichend geschulte Mitarbeitende verantwortlich dafür, dass ein Eintrittstor geschaffen wird. Das kann also ein Klick auf einen Link in einer E-Mail sein, ein falsch angesteckter USB-Stick oder nicht erlaubte Geräte, die aber dennoch mit dem Netzwerk verbunden werden. Hier gilt es einerseits in die Bewusstseinsbildung und Schulungen zu investieren, aber genauso müssen andererseits die vorgegebenen Schutzmechanismen und -forderungen auch menschlich umsetzbar bzw. anwendbar sein.

Wenn die Fehlerquelle etwa darauf zurückzuführen ist, dass Mitarbeitende sich die geforderten 30-Zeichen langen Passwörter/Zeichenkombinationen nicht merken, sie diese daher auf Notizzettel schreiben und im Büro liegen lassen, ist das auch menschlich nachvollziehbar. Hier muss also das Unternehmen für ein breites Verständnis an Grundmechanismen und Abläufen und die notwendige Umsetzbarkeit sorgen.

Jeder Benutzer und jede Benutzerin ist Teil des Schutzsystems – das geht von Unternehmen aus in die breite Gesellschaft. Meiner Meinung nach sollte man bereits im Schulalter ansetzen und hier eine entsprechende Bewusstseins- und Kompetenzbildung anstreben. Es braucht also definitiv eine breitere Awareness für das Security-Thema, ein neues Verständnis und in den Unternehmen unterschiedliche Wissenslevel (vom Grundverständnis aller Mitarbeitenden bis hin zum fachspezifischen Know-how der zuständigen Personen).

Wie schätzen Sie die Lage von heimischen Unternehmen bzw. Österreich an sich im Zusammenhang mit Digitalsystemen ein?

Helmut Leopold:
Die großen Unternehmen Österreichs, die z. B. ausgebildete Security-Expertinnen und –Experten in ihren Teams haben, sind auf einem sehr guten Weg und weisen zum Teil bereits ein sehr hohes Schutzniveau auf. Je kleiner die Unternehmen (besonders im Bereich OT) jedoch, desto mehr Aufholbedarf besteht. Diese Betriebe haben womöglich gerade erst begonnen Prozesse zu digitalisieren und besondere Aufwände für Cyber-Security Mechanismen sind oft noch nicht ausreichend in der Planung der Unternehmen berücksichtigt.

Auf der Herstellerseite gibt es in Österreich bereits einige international erfolgreiche Lösungsanbieter mit high-end Lösungen, viele Sicherheits-Expertinnen und -experten, sowie Forschungseinrichtungen mit führenden Kompetenzen im internationalen Vergleich. Die Herausforderung ist nun aber auf der Verständnisseite das Mindset zu etablieren, dass es sich bei Security keineswegs nur um eine Kostenstelle handelt. Der Nutzen einer ausgeklügelten Sicherheitsstrategie und Schutzmechanismen als inhärenter Bestandteil moderner digitaler Lösungen und Produkten als Grundlage für eine unbedingt notwendige Daten-Souveränität muss viel breiter verstanden werden, womit wir wieder bei der wachsenden Bedeutung entsprechender Awareness wären.


CIS Compliance Summit 2022

20.09.2022 | Austria Trend Hotel Savoyen Wien

Nicht verpassen & hier anmelden!

Wie sich das Leben 2050 für uns ändern wird
Was Sie beim CIS Compliance Summit 2022 erwartet

Log in or Sign up