Donnerstag, April 18, 2024

Die Sicherheit der Operational Technology (OT) stand am 20. September 2022 im Mittelpunkt des CIS Compliance Summits im Austria Trend Hotel Savoyen in Wien. Experten präsentierten Maßnahmen zum Schutz der Betriebstechnologie.

Titelbild (v.l.n.r.): Klaus Veselko, Geschäftsführer der CIS, gemeinsam mit Helmut Leopold, Leiter des DSS, Thomas Bleier, Geschäftsführer B-SEC, und Erich Dröscher, Expert Security Manager bei der RBI. (Credit: Anna Rauchenberger)

Rund 250 Teilnehmer*innen aus Österreich und dem benachbarten Ausland waren der Einladung der auf Informationssicherheit, Datenschutz, Cloud Computing, IT-Services, Rechenzentren und Business Continuity Management spezialisierten Zertifizierungsorganisation CIS - Certification & Information Security Services GmbH gefolgt. Inhaltlich fokussierte das Branchenevent, bei dem alljährlich praxisorientierte Vorgehensweisen in den Bereichen Security, Privacy und Business Continuity diskutiert werden, heuer auf die Sicherheit der Operational Technologies (OT).

Industriebetriebe, Stromkonzerne, Spitäler und andere Einrichtungen rücken zunehmend in den Fokus von Cyber-Kriminellen. Jedes Gerät stellt ein potenzielles Sicherheitsrisiko dar, das auch strategisch geschützt werden muss.„Früher war OT-Security kaum ein Thema, weil es keine Betriebstechnologie gab, die mit dem Internet verbunden war. Heute hängen alle Computer und nahezu jede Maschine an Unternehmensnetzwerken und diese wiederum im Internet“, unterstrich CIS-Geschäftsführer Klaus Veselko in seiner Eröffnungsrede die Relevanz. „Die Angreifer suchen bei ihren Zielobjekten immer nach den schwächsten Stellen. Daher braucht es zur Abwehr unbedingt Gesamtkonzepte, welche IT- und OT-Security integrieren, und nicht nur punktuelle Maßnahmen.“

Sichere Digitalsysteme

Helmut Leopold, Leiter des Center for Digital Safety & Security (DSS) beim AIT Austrian Institute of Technology, verwies in seiner Keynote auf die spezifischen Merkmale von Betriebstechnologien: „Ein Flugzeug kann beispielsweise nicht einfach freitagabends upgedatet werden, wie das in der Büro-IT gängige Praxis ist. Remote-Wartungen über das Internet sind daher im OT-Bereich weitverbreitet, wobei das in der Regel zwar kostengünstiger ist, aber auch anfällig für Cyber-Attacken macht.“ Um Digitalsysteme generell sicherer zu gestalten, plädiert Leopold dafür, digitale Systeme von vornherein so zu bauen, dass sie widerstandsfähig gegenüber Cyber-Angriffen sind. Auch der Einsatz künstlicher Intelligenz habe sich bei der Abwehr als sehr effektiv erwiesen. Für gezielte Schutzmechanismen sollte zudem ein stärkerer internationaler Daten- und Informationsaustausch stattfinden.

Normen als Guidelines

Genereller Tenor der Veranstaltung war, dass punktuelle Maßnahmen im Bereich OT-Security völlig unzureichend sind. Als wichtige Guidelines auf dem Weg zu einem umfassenden Sicherheitskonzept haben sich Normen bewährt. Herzstück im Bereich der industriellen Automatisierungstechnik ist die Normenreihe IEC 62443, wie Thomas Bleier, Geschäftsführer der B-SEC better secure KG und Auditor der CIS, ausführte: „Relevant ist das beispielsweise bei Ausschreibungen, Verhandlungen oder auch Gutachten. Die IEC 62443 wird vermutlich als Grundlage für Zertifizierungsschemata dienen.“

Auch Zertifizierungen nach der internationalen Norm für Informationssicherheit ISO 27001 sind für viele Unternehmen mittlerweile fester Bestandteil ihrer Strategie geworden. Erich Dröscher, Expert Security Manager bei der Raiffeisen Bank International (RBI), zeigte sich am Rande des CIS Compliance Summits vom Nutzen überzeugt: „Der Vorteil der ISO 27001-Zertifizierung liegt für die RBI darin, durch einen unabhängigen Nachweis über ein professionell geführtes Informationssicherheitsmanagementsystem das Kundenvertrauen in unsere Dienstleistungen weiter zu stärken. Die externe Sicht auf unser Unternehmen stellt einen Eckpfeiler unserer Gesamtstrategie dar, um den kontinuierlichen Verbesserungsprozess weiter zu forcieren.“

Einen kritischen Blick werfen auch die Expert*innen der Quality Austria auf Organisationen und ihre Strukturen. Vor allem KMU scheuen jedoch die mit strategischen Maßnahmen verbundenen Kosten, wie Eckehard Bauer, Prokurist Development für Sicherheitsmanagement, Business Continuity, Risiko, Security, Compliance und Transport bei Quality Austria, weiß: „Jedes Managementsystem ist eine Investition in die Wettbewerbsfähigkeit einer Organisation.“ Bei Krisenfällen – und eine Cyberattacke ist in der Regel ein solcher – können ein strukturierter Ablauf und faktengestützte Entscheidungen die Auswirkungen wesentlich mildern. Das Ziel sei die Aufrechterhaltung der Betriebsfähigkeit, erklärte Bauer: „Erfahrungen zeigen, dass gut gemanagte Unternehmen früher und sogar gestärkt aus einer Krise kommen.“

Wettlauf gegen die Zeit

Am Ende des Branchenevents deckte der Ö3-Moderator Tom Walek in seiner etwas anderen Keynote „Im Wettlauf mit der Zeit“ überraschende Parallelen zwischen seiner Expedition zum Südpol und der Business-Welt auf: Betriebe, die bereits Opfer einer Cyberattacke waren, kennen den Wettlauf gegen die Zeit nur zu gut und wissen über die Wichtigkeit schneller, gut durchdachter und praxisnaher Schutzmaßnahmen Bescheid. Zudem braucht es ein gut eingespieltes Team, das genau weiß, was zu tun ist.

Auch CIS-Geschäftsführer Klaus Veselko thematisierte abschließend die Fehlerquelle Mensch und plädierte für eine stärkere Bewusstseinsbildung: „Häufig sind unzureichend geschulte Mitarbeitende verantwortlich dafür, wenn ein Eintrittstor für Cyberangriffe geschaffen wurde. Das können ein Klick auf einen Link einer E-Mail, ein unerlaubt angesteckter USB-Stick oder lange und komplizierte Passwörter sein. Umfassendes Informationssicherheitsdenken muss in der Unternehmenskultur verankert werden.“ 

Meistgelesene BLOGS

Nicole Mayer
26. Jänner 2024
Der Bewerb um die höchste staatliche Auszeichnung für Unternehmensqualität in Österreich ist eröffnet. Gemeinsam mit dem Bundesministerium für Arbeit und Wirtschaft (BMAW) sucht Quality Austria wieder...
Firmen | News
01. März 2024
Unter dem Motto „Mission Zukunft - Transformation der Wirtschafts- und Energiesysteme" veranstalten die Deutsche Handelskammer in Österreich in Kooperation mit Fraunhofer Austria Research das Deutsch-...
Alfons A. Flatscher
02. Jänner 2024
... das Alte geht. Die Welt ist im Wandel. Wir wandeln uns mit. Der REPORT ist im Wandel und erscheint in neuem Kleid: Mit neuem Layout, auf besserem Papier und mit einer Weiterentwicklung des inhaltl...
Firmen | News
25. März 2024
Die Arbeitswelt befindet sich im Wandel und Künstliche Intelligenz (KI) spielt dabei eine entscheidende Rolle. Unternehmen weltweit erkennen zunehmend die Bedeutung von KI für ihre Produktivität und W...
Katharina Bisset
07. Februar 2024
Ab 14. Februar 2024 müssen alle Pflichten des Digital Services Act von betroffenen Unternehmen umgesetzt werden – aber was bedeutet dies konkret? Der Umfang der Pflichten hängt davon ab, welche Dienst...
Alfons A. Flatscher
26. Jänner 2024
Ganz oben auf der Agenda unserer Leser*innen steht: Neues schaffen! Wir haben gefragt, 150 Leser*innen haben uns qualifizierte Antworten geliefert. (Zum Artikel: Chancen überall, nicht erst ab 2025) D...
Mario Buchinger
22. Jänner 2024
In der Consulting- und Coaching-Branche gibt es sicher einige Leute, die kompetent Organisationen unterstützen können. Aber viele der Coaches und Consultants nützen meist nur sich selbst. Worauf Unter...
Nicole Mayer
30. Jänner 2024
Durch den rasanten Fortschritt der digitalen Transformation und den zunehmenden Einsatz von Informationstechnologien wird die (Informations-) Sicherheit sensibler Unternehmensdaten immer wichtiger. Or...

Log in or Sign up