Dienstag, April 23, 2024
Sicherheit – die Basis aller Dinge
Beim "Bacher Security Day" standen Konzepte und Modelle wie "Zero Trust" in der Netzwerksicherheit im Fokus. (Fotos: Milena Krobath)

Unsere Wirtschaft und Gesellschaft bauen auf ein Fundament aus Sicherheit. IT-Sicherheit, um genau zu sein. Dafür bot der „Bacher Security Day“ am 12. März einen intensiven Austausch von Cybersecurity-Experten und Verantwortlichen in verschiedensten Branchen. Das Ziel: Gemeinsam sicherer zu werden.

Rund 150 Sicherheitsverantwortliche aus ganz Österreich folgten der Einladung von Bacher Systems zum ersten „Bacher Security Day“ in die METAStadt in Wien. Die Fachkonferenz rund um Cybersecurity gab bewusst viel Raum zum Austausch über aktuelle Sicherheits-Herausforderungen. Auf und abseits der Bühnen und in Breakout-Sessions diskutierten Security-Verantwortliche aus Unternehmen und Fach-Experten vielfältige Blickwinkel der Cybersecurity – von der Verfügbarkeit von Daten und Services in komplexen Infrastrukturen, über die Einschätzung von Cyberrisiken, das Erfüllen von Compliance-Anforderungen bis zu konkreten technischen und organisatorischen Maßnahmen.

Bild: Nicolai Czink ist Geschäftsführer und ­Gesellschafter von Bacher Systems

Für Gastgeber Nicolai Czink, Geschäftsführer von Bacher Systems, bedeutet der Bacher Security Day vor allem „echten Austausch zum Thema Sicherheit.“ Die „Mitverantwortung“, die Bacher Systems seit vielen Jahren im Slogan trägt und prägt, solle man auch bei dieser Konferenz spüren. Man sei mit mehr als 200 Zertifizierungen für Technologien unterschiedlichster Hersteller ein starker Partner für Unternehmen und investiere entsprechend in die Weiterbildung. Die „Mitverantwortlichen“, wie bei Bacher die Mitarbeiter*innen genannt werden, können nach Beratung, Konzeption und Implementierung einer Lösung im laufenden Betrieb (Managed Service) unterstützen. „Wir möchten, dass die IT und auch die Cybersicherheitsinfrastruktur einen Mehrwert für Business erzeugen“, betont Czink.

Wie aber steht es tatsächlich um die Sicherheit der heimischen Wirtschaft? Wolfgang Rosenkranz, Leiter des nationalen Computer Emergency Response Team (CERT), gab in seiner Keynote einen Überblick über die Bedrohungslage in Österreich. „Tag für Tag sorgen zigtausende Experten für den hohen Sicherheitslevel, den wir in einer digitalisierten Gesellschaft brauchen“, berichtet Rosenkranz. Das CERT sammelt Informationen über Attacken und teilt Erkenntnisse dazu mit den Unternehmen. Der Experte nennt aktuell fünf größte Bedrohungen: Risiken in den Lieferketten, Datendiebstahl und Ransomware, Phishing sowie staatlich unterstützte Angriffe – die ebenfalls auf Diebstahl oder Spionage abzielen. „Wir brauchen in den nächsten Jahren eine viel engere Zusammenarbeit der Unternehmen mit ihren Dienstleistern und Lieferanten“, unterstreicht er. Ist das schwächste Glied in einer Lieferkette von Angriffen betroffen, hätte das Auswirkungen auch auf die Partner. Mit zunehmenden mit KI gefälschten Inhalten im Netz erwartet Rosenkranz auch entsprechende Aktivitäten in Sozialen Medien und bei Betrugsversuchen gegenüber Unternehmen. Es gilt, darauf Awareness- und Weiterbildungsmaßnahmen abzustimmen, und Mitarbeitende vor den oftmals bekannten Angriffsmustern zu warnen. „Wir haben eigentlich genügend Informationen darüber, wie Kriminelle vorgehen. Trotzdem scheitert die Umsetzung von Maßnahmen und Schulungen an zu geringen Budgets oder einer fehlenden Priorisierung“, so der CERT-Leiter.

cMilenaKrobath_61_Wolfgang_Rosenkranz.jpg

Bild: Wolfgang Rosenkranz ist Leiter des Computer Emergency Response Teams CERT

Verordnungen wie NIS-2 und „Digital Operational Resilience Act (DORA)“ für die Finanzwirtschaft bringen nun Berichtspflichten bei Sicherheitsvorfällen und die Notwendigkeit eines Risikomanagements. Die gesetzlichen Anforderungen hinsichtlich Cybersicherheit werden auch kleinere Lieferanten und Dienstleister der von NIS-2 und DORA betroffenen Firmen erfassen. Dabei kann die Geschäftsführung eines Unternehmens persönlich haften. „Risiken einfach an einen Partner auszulagern, wird künftig nicht mehr funktionieren“, sieht Rosenkranz die gesamte Security-Community in der Pflicht. „Wenn es in einem Unternehmen brennt, sollten wir uns gegenseitig und andere auf künftige Vorfälle vorbereiten.“

cMilenaKrobath_82_Lucas_Goldgruber.jpg

Bild: Lucas Goldgruber leitet den Bereich Cybersecurity & Defense bei der ÖBB

Einen Praxisbericht zum Aufbau und der Weiterentwicklung eines „Security Operation Center (SOC)“ lieferten Lucas Goldgruber, der den Bereich Cybersecurity & Defense bei der ÖBB leitet, und Data-Analytics-Experte Zoran Cukic von Bacher Systems. Cukic begleitet und unterstützt beim Aufbau von SOCs und einem „Security Information und Event Management (SIEM)“. Die beiden Partner haben hunderte Einsatzfälle für die praktische Erkennung und die Abwehr von Schadsoftware und Attacken agil konzipiert und für die IT-Systeme der ÖBB ebenso wie für die OT, der „Operational Technology“, entwickelt. Am Ende des Tages ist es eine Mischung an Maßnahmen und Technologien für die Absicherung: der klassische Perimeterschutz mit Firewalls und Netzwerksicherheit, Security-Engineering für die Unterstützung von Projekten, für Risikoanalysen und für Beratung, und personelle Leistungen bei Sicherheitsvorfällen, die von Lucas Goldgruber und seinem Team erbracht werden. In einem Perspektivenwechsel, der in der ÖBB aktiv gefördert wird, tauschen sich Fachabteilungen regelmäßig aus und lernen voneinander. Das unterstützt den Wissenstransfer auch von Sicherheitsthemen wie Schwachstellenmanagement ins Business.

Vernetzung der Welt

cMilenaKrobath_100_Gilbert_Wondracek.jpg

Bild: Gilbert Wondracek ist CISO bei der A1 Gruppe

Wie Security die Geschäftsziele einer digitalen Transformation unterstützt, diskutierten weitere Sicherheitsexperten aus unterschiedlichen Branchen auf der Bühne. Gilbert Wondracek, CISO bei der A1 Gruppe, beschreibt die zunehmende Geschwindigkeit von Produktentwicklungen in der IT und Telekommunikation. Sicherheit müsse stets bei großen ebenso wie kleinen Produkten berücksichtigt werden – Schwachstellen könnten ansonsten sofort ausgenutzt werden. Ist Security nicht trotzdem aus Vertriebssicht ein Klotz am Bein? „Ich darf nur 130 km/h fahren, wenn mein Fahrzeug auch wieder sicher stehen bleiben kann“, ist für Wondracek der Nutzen klar. Security ist bei A1 als Teil der Unternehmensstrategie verankert. Sie unterstützt das Vertrauen der Kund*innen in die Produkte und Services von A1. „Menschen werde künftig keine Produkte kaufen, die nicht sicher sind“, ist er überzeugt. Die Bandbreite dazu reicht von einer Security-Basishygiene in IT-Systemen bis zum Produktdesign und transparenten Prozessen in einer vernetzten Welt der Dinge.

cMilenaKrobath_105_Alexander_Modl.jpg

Bild: Alexander Modl hat den Teamlead Network & Security bei KTM inne

Alexander Modl, Teamlead Network & Security bei dem Fahrzeughersteller KTM, sieht Cybersicherheit heute für die Stabilität von Lösungen und damit dem Geschäftserfolg von Unternehmen essenziell. „Gleichzeitig ist die Erwartung, dass Lösungen auch einfach in der Anwendung und im Betrieb sind“, ist Modl mit einem Spannungsfeld von Absicherung und Offenheit konfrontiert. Für die IT-Abteilung bei KTM stellen auch Firmenübernahmen oder eine Zusammenarbeit mit Startups Herausforderungen dar, denn meist ist eine Harmonisierung von Systemen und Prozessen über Unternehmensgrenzen hinweg gefordert. Dies sei zu schaffen, so Modl, falls Business, IT und auch die Unternehmensführung an einem Strang ziehen – und die IT-Abteilung proaktiv das verändernde Geschäft in den Fachabteilungen mit den optimalen Maßnahmen adressiert.

cMilenaKrobath_106_Christoph_Märk.jpg

Bild: Christoph Märk ist Geschäftsführer von VTG und IT-Leiter bei illwerke vkw

Physische Sicherheit ist seit jeher ein wesentlicher Faktor in der Energieversorgung, der nun mit Cybersicherheit ergänzt wird. Christoph Märk, Geschäftsführer des Dienstleisters VTG und IT-Leiter bei illwerke vkw, befindet sich mit der Energiebranche inmitten einer Transformation eines ganzen Wirtschaftssystems. Für die Energiewende und dem Trend zu einer kleinteiligeren Stromerzeugung, neuen Modellen wie Energiegemeinschaften und Ladelösungen für die Elektromobilität sind Vernetzung und Digitalisierung notwendig, bestätigt Märk. „Security ist ein fundamentaler Bestandteil dieses neuen Markts“, unterstreicht der Vorarlberger IT-Experte. Von der Versorgungssicherheit in der Energiewirtschaft zur Resilienz auch in der IT: die illwerke vkw erzeugen bereits zu hundert Prozent grünen Strom – und bietet ihre Expertise und Services rund um Cybersicherheit auch am Drittmarkt an.

cMilenaKrobath_117_Arnold_Hofer.jpg

Bild: Arnold Hofer ist Head of IT-Security bei Engel Austria

Engel erzeugt Spritzgießmaschinen für Fertigungsbetriebe in der ganzen Welt. Die Maschinen haben Nutzungszeiten von bis zu dreißig Jahren, entsprechend müssen auch Altsysteme („Legacy“) für moderne Sicherheitsanforderungen vernetzt werden. Arnold Hofer hat bei dem Hersteller mit Hauptsitz in Oberösterreich die Abteilung für IT-Sicherheit aufgebaut und betreut mit seinem Team die Produktionsprozesse im Maschinenbau. „Wir haben uns personell vergrößert und optimieren aktuell die Prozesse in diesem Bereich“, berichtet Hofer von unterschiedlichsten Herausforderungen im Tagesgeschäft. Die Welt der Digitalisierung rückt zusammen: Vernetzte Maschinen in der Produktion, Telemetriedaten von Fahrzeugen, smarte Netze und Komponenten in den Energiesystemen sowie Breitband und Maschinenkommunikation in den Mobil- und Festnetzen.

Umfangreiche Expertise

Neben einem tieferen Einblick in die Sicherheitsstrategie bei A1, den Gilbert Wondracek gab, und einem Bericht von Christoph Märk zu der Erfahrung mit dem Sicherheitsgesetz NIS, berichtete Matthias Reinwarth von KuppingerCole Analysts über Absicherung digitaler Identitäten als zentrales Element des Konzepts „Zero Trust“. Reinwarth liefert Beratung zum Thema „Identity Access Management (IAM)“ und betont: Die klassischen Grenzen in der Netzwerklandschaft der Unternehmen lösen sich auf.

cMilenaKrobath_184_Matthias_Reinwarth.jpg

Bild: Matthias Reinwarth ist Experte für "Zero Trust" bei KuppingerCole Analysts

„Ressourcen und Daten sind mittlerweile in der Cloud und im OT-Umfeld. IT-Umgebungen verändern sich und bieten ständig neue Flächen für Angriffe. Hinzu kommen Compliance- und Datenschutzanforderungen“, fasst der Analyst und Berater zusammen. Bei Zero Trust geht man von der Tatsache aus, die Burgmauer nicht lückenlos verteidigen zu können. Haben Angreifer in einer klassischen IT-Umgebung diese eine Außenmauer überwunden, können sie sich in der Burg frei bewegen. Zero Trust eliminiert dieses trügerische Grundvertrauen. An dessen Stelle tritt die kontinuierliche Überprüfung der Benutzeridentität an den Außenkanten einer Vielzahl von eigenständigen, besser zu verteidigenden Netzsegmenten. Technisch und organisatorisch werden dabei den Usern nur jene Rechte verliehen, die unbedingt zur Erfüllung einer Aufgabe notwendig sind. Gleichzeitig wird eine Transparenz über die Nutzerkonten und Rollen geschaffen – sicherheitsrelevantes Wissen, dass vor dem Konzept IAM nicht auf Knopfdruck zur Verfügung stand.

Am Nachmittag des Fachtagung beantwortete die Juristin Katharina Bisset in einer gut besuchten Runde Fragen zu den rechtlichen Grundlagen und Auswirkung durch die Regulatorien NIS-2 und DORA. Experten von Bacher Systems gewährten in spannenden Vorträgen einen Einblick in die Automatisierung im Security-Umfeld – gemeinsam mit Christian Bilek, Privileged Access Management Architect bei Erste Digital –, und boten einen offenen Erfahrungsaustausch zu Security-Operations sowie einen Technologievergleich verschiedener SOC-Lösungen. Den Übergang zum abendlichen Networking bot Keynote-Sprecher Alexander Krenn mit einem humorvollen Rundumschlag mit Tipps und Tricks für Awareness und Sicherheitskultur in Organisationen.

cMilenaKrobath_376.jpg

Bild: Elvira Cejna, Geschäftsführerin von Bacher Systems, lud zum gemütlichen abendlichen Ausklang der Fachtagung in der METAstadt ein.

Und was sagen die Besucher zur Premiere des Bacher Security Days? Ein gelungener Austausch, viele namhafte Unternehmensvertreter auf der Bühne und im Publikum, gute Inspiration durch die Vorträge, lauteten erste Rückmeldungen am Tagesende. Für das Bacher-Geschäftsführungsteam Nicolai Czink und Elvira Cejna stehen die vielen Begegnungen bei der Veranstaltung symbolisch auch für die Unternehmenskultur bei dem Security-Dienstleister: „Wir suchen stets gemeinsam nach Lösungen, um IT noch sicherer zu machen.“ Dazu behauptete sich der erste Bacher Security Day in der heimischen IT-Konferenz-Landschaft durchaus. Wird es eine Fortsetzung geben? „Das Konzept von Austausch unter Experten statt Verkaufsveranstaltung scheint aufzugehen“, lacht Czink mit einem Augenzwinkern. Wir freuen uns auf eine Neuauflage.

cMilenaKrobath_154.jpg

cMilenaKrobath_37.jpg

cMilenaKrobath_64.jpg

cMilenaKrobath_335.jpg

cMilenaKrobath_274.jpg

Meistgelesene BLOGS

Firmen | News
01. März 2024
Unter dem Motto „Mission Zukunft - Transformation der Wirtschafts- und Energiesysteme" veranstalten die Deutsche Handelskammer in Österreich in Kooperation mit Fraunhofer Austria Research das Deutsch-...
Nicole Mayer
26. Jänner 2024
Der Bewerb um die höchste staatliche Auszeichnung für Unternehmensqualität in Österreich ist eröffnet. Gemeinsam mit dem Bundesministerium für Arbeit und Wirtschaft (BMAW) sucht Quality Austria wieder...
Alfons A. Flatscher
02. Jänner 2024
... das Alte geht. Die Welt ist im Wandel. Wir wandeln uns mit. Der REPORT ist im Wandel und erscheint in neuem Kleid: Mit neuem Layout, auf besserem Papier und mit einer Weiterentwicklung des inhaltl...
Firmen | News
25. März 2024
Die Arbeitswelt befindet sich im Wandel und Künstliche Intelligenz (KI) spielt dabei eine entscheidende Rolle. Unternehmen weltweit erkennen zunehmend die Bedeutung von KI für ihre Produktivität und W...
Katharina Bisset
07. Februar 2024
Ab 14. Februar 2024 müssen alle Pflichten des Digital Services Act von betroffenen Unternehmen umgesetzt werden – aber was bedeutet dies konkret? Der Umfang der Pflichten hängt davon ab, welche Dienst...
Alfons A. Flatscher
26. Jänner 2024
Ganz oben auf der Agenda unserer Leser*innen steht: Neues schaffen! Wir haben gefragt, 150 Leser*innen haben uns qualifizierte Antworten geliefert. (Zum Artikel: Chancen überall, nicht erst ab 2025) D...
Mario Buchinger
22. Jänner 2024
In der Consulting- und Coaching-Branche gibt es sicher einige Leute, die kompetent Organisationen unterstützen können. Aber viele der Coaches und Consultants nützen meist nur sich selbst. Worauf Unter...
Nicole Mayer
30. Jänner 2024
Durch den rasanten Fortschritt der digitalen Transformation und den zunehmenden Einsatz von Informationstechnologien wird die (Informations-) Sicherheit sensibler Unternehmensdaten immer wichtiger. Or...

Log in or Sign up