2020 war ein Rekordjahr für Cyberkriminalität. Wie sich Unternehmen gegen Angriffe schützen können, war Thema des diesjährigen CIS Compliance Summit in Wien.
Wie der aktuelle Cyberkriminalitätsreport dokumentiert, nehmen die Bedrohungen aus dem Internet rasant zu. Im Vorjahr verzeichnete das Bundeskriminalamt mit 12.914 Fällen und einem Plus von fast 70 Prozent (2019: 7.622 Fälle) einen enormen Anstieg bei »Deliktfällen im engeren Sinn« – also Angriffe auf Netzwerke, Computersysteme, informationstechnische Geräte oder Dienste. Darunter fallen etwa auch Datenbeschädigung, Hacking oder DDoS-Angriffe (Distributed Denial of Service). Neun von zehn Unternehmen in Europa gehen davon aus, innerhalb der nächsten zwölf Monate von Datendiebstahl betroffen zu sein, wie eine aktuelle Studie von Trend Micro zeigt.
Bild: Michael Sauerzapf (Rewe), Walter Fraißler (Verbund), Martin Fridl (CIS-Partner) und Rechtsanwalt Markus Frank (v.li.) lieferten anschauliche Einblicke in die betriebliche Praxis.
»Trotz dieses Wissens um die aktuelle Situation setzen viele Unternehmen zu wenige Maßnahmen zur Verbesserung der eigenen Cybersicherheit«, warnte Klaus Veselko, Geschäftsführer der Certification & Information Security Services GmbH (CIS), im Rahmen des CIS Compliance Summit, dem Fachevent der Cybersecurity-Industrie, der am 8. September in Wien stattfand. Für betroffene Unternehmen steht viel auf dem Spiel: Der Verlust von geistigem Eigentum und die Unterbrechung oder Beschädigung kritischer Infrastrukturen können existenzbedrohend sein. Eine umfassende Informationssicherheitsstrategie, so Veselko, sei deshalb eine elementare Voraussetzung »zum Schutz digitaler Unternehmenswerte und der Wettbewerbsfähigkeit«.
Intelligente Bedrohungen
Künstliche Intelligenz trägt maßgeblich dazu bei, dass sich die Bedrohungen potenzieren, gleichzeitig könnte es gerade durch den Einsatz KI-gesteuerter Cyber Defense gelingen, sich gegen Angriffe zu wappnen. Technologien für Security zu nutzen und darüber hinaus strategisch für den eigenen Geschäftserfolg einzusetzen, sei das Gebot der Stunde, wie Clemens Wasner, Geschäftsführer von enliteAI und einer der renommiertesten KI-Experten Österreichs, erläuterte: »Künstliche Intelligenz hat schon seit geraumer Zeit Einzug in die Corporate IT gehalten. Das bekannteste Beispiel dieser Art ist sicher der Spam Filter, der auch in vielen Lehrmaterialien als der Machine-Learning-Anwendungsfall schlechthin genannt wird.« Nicht zuletzt die pandemiebedingte Zunahme an Remote Work hatte in den Bereichen Identity-Verification mittels Bild- und Dokumentenerkennung sowie Know-your-Customer-Lösungen zu einem beschleunigten Roll-out geführt.
KI-gesteuerte Anwendungen kommen bereits seit Jahren, zum Beispiel in der Qualitätskontrolle oder bei Kreditkartenbetrug, zum Einsatz. Die besondere Stärke, Anomalien zu erkennen, ermöglicht es auch, DDoS-Attacken oder unerlaubte Zugriffe bzw. Intrusion Detection rasch zu identifizieren. 
Bild: Christoph Baumgartner (Quality Austria), Christoph Schuh-Wendl (CIS), Klaus Veselko (CIS) und Clemens Wasner (enliteAI) regten zum Austausch über Cybersecurity und Datenschutz an.
Sogenannte »Deepfakes« – mittels KI manipulierte Fotos, Videos oder Audioaufnahmen – bieten in Kombination mit den massiven Datenleaks der letzten Jahre ein unmittelbares Bedrohungsszenario: Beispielsweise kann die Stimme des CEO täuschend echt imitiert werden; entsprechende Deliktfälle, bei denen der vermeintliche Vorgesetzte telefonisch Überweisungen veranlasste, sind seit 2019 bekannt. Die KI schafft es, anhand typischer Bilder, Namen und Geburtsdaten neue Userprofile zu kreieren oder bestehende zu verändern – bis hin zur Impersonifizierung von Nutzer*innen. Diese Methoden funktionieren auch beim Erraten von Passwörtern und »kommen auf Hacker-Seite bereits zum Einsatz«, bestätigte Wasner. Dabei handle es sich aber nur um die Spitze eines rasch wachsenden Eisbergs: Heute gebe es »Crime as a Service« und »AI as a Service«, in Zukunft werde es auch »AI for Crime as a Service« geben, wie der Experte pointiert anmerkte.
Gut abgeschottet
»Dieses Thema kann niemanden kalt lassen«, stellten auch Christoph Baumgartner, Leiter des Bereichs Business Development Automotive bei Quality Austria, und CIS-Netzwerkpartner Christoph Schuh-Wendl in ihrem Vortrag über Sicherheitsanforderungen in der Automobilindustrie klar: »Moderne IT-unterstützte Fahrzeuge bieten ein Angriffsziel für Hacker und können zu einem ernsten Sicherheitsproblem werden.« So gelang es z.B. zwei Personen über das Unterhaltungssystem, das mit dem Internet verbunden war, in ein Fahrzeug einzudringen und somit Bremsen und Lenkung fernzusteuern. 
Auch Walter Fraißler, Leiter der Informationssicherheit bei der Verbund AG, ortete eine Professionalisierung der Angriffsarten und der Vorgehensweisen. Als Betreiber kritischer Infrastruktur muss das Unternehmen höchste Sicherheitsstandards erfüllen. Das Netz- und Informationssicherheitsgesetz (NISG) wurde zu drei Viertel bereits durch die ISO-Zertifizierung 27001 abgedeckt. Zusätzlich baute Fraißler mit einem eigenen Team systematisch ein Informationssicherheitsmanagement auf. Michael Sauerzapf, IT-Projektmanager im Rechenzentrum der REWE International AG, berichtete von ähnlich großer Verantwortung und der Notwendigkeit eines abgeschotteten Betriebs im Ernstfall.
Aufgrund der technologisch immer perfideren Cyberattacken nimmt Informationssicherheit im integrierten Managementsystem einen zentralen Platz ein. »Informationssicherheit wird zum Standard, wie ein Türschloss am Eingang«, zeigte sich Anni Koubek, Prokuristin Innovation und verantwortlich für Business Development Zertifizierung Qualität bei Quality Austria, überzeugt: »Technologien wie KI, Robotik, Sensoren, Analytics, Blockchain, Augmented Reality oder 5G wirken als Beschleuniger.«
Ausblick 2022
Das Thema Informationssicherheit bleibt ein Dauerbrenner. Um Expert*innen, Business Cases, Networking sowie Ausstellern mehr Raum zu geben, findet der nächste CIS Compliance Summit am 20. September 2022 als ganztägiger Event statt. Vortragende, die ihre Erfahrungen und Expertise in den Bereichen Security, Privacy und Continuity mit den Teilnehmer*innen teilen möchten, können sich bereits jetzt mit ihrem Thema bewerben www.cis-cert.com/summit.
Im Rahmen des CIS Summit 2022 wird auch erstmals der »CISO of the Year« gekürt, um die Chief Information Security Officers des Landes und ihre herausragenden Projekte vor den Vorhang zu holen. Die Anmeldefrist für diese Auszeichnung läuft bis 18. März 2022 – bewerben können sich die Spezialist*innen selbst oder auf Vorschlag ihrer Organisation.
