Im Gespräch (v.l.n.r.): Christian Wiesener (AuRep), Thomas Masicek (T-Systems), Christian Pfundner (Schrack Technik Gruppe) und Christoph Schacher (Wienerberger) und Rudy Felser (Mitte, CR monitor).
Eva Puella Photography
Gemeinsam mit Thomas Masicek, bei T-Systems in Österreich und der Schweiz für das Thema Cyber Security verantwortlich, begaben sich Christian Pfundner, CIO der Schrack Technik Gruppe, Christoph Schacher, der bei der Wienerberger AG für Cyber Security und Datensicherheit bzw. Datenschutz zuständig ist, sowie Christian Wiesener, Cyber Security Officer der Austrian Reporting Services GmbH (AuRep), dem Partner der Österreichischen Banken und Finanzdienstleister für das Meldewesen an die Aufsichtsbehörden, zu einem Round Table mit dem Thema Cyber Security.
Es bleibt alles anders
Auch wenn in den letzten Jahren neue Technologien und Methoden auf der Bildfläche aufgetaucht sind, so ist die Bedrohungslage laut den versammelten Experten im Kern doch die gleiche geblieben. Eine positive Entwicklung gibt es jedoch zu verzeichnen: Der Stellenwert von IT-Security ist gestiegen. "Früher war das anders. Die Security wurde erst nachher dazu gerufen. Das hat sich heute geändert. Man sollte Security von Anfang an bei der Planung der Architektur mitberücksichtigen.", so Christian Wiesener. Das bedeutet aber nicht, dass die "bösen Jungs" nichts dazugelernt hätten. Es stimme zwar, dass die Kernbedrohung relativ identisch geblieben sei, bestätigte Thomas Masicek von T-Systems. "Aber die Qualität dahinter und die zeitliche Nähe zwischen dem Bekanntwerden einer neuen Schwachstelle und ihrer systematischen Ausnutzung sind ganz anders. Waren wir vor drei Jahren noch bei mehreren Wochen sind wir jetzt teilweise schon bei wenigen Stunden. Da mithalten zu können und schnell genug zu reagieren ist für die IT eine immer größere Herausforderung", erklärte der Cyber-Security-Experte. Neben der gestiegenen Qualität von Malware und dem damit verbundenen höheren Aufwand für Incident Response müsse auch die höhere Abhängigkeit der Unternehmen vom Internet-Zugang und von Cloud Services bedacht werden. Masicek: "Durch die Abhängigkeit von der Verbindung zu den Cloud-Services nehmen auch durch Cyber-Angriffe verursachte Betriebsausfälle zu."
Ein Fuß in der Tür
Um einen Fuß in die Tür zu bekommen, bedienen sich Kriminelle immer öfter weniger technischer, als vielmehr zwischenmenschlicher Methoden. "Wenn Sie mich fragen, was uns in den letzten Jahren massiv verändert hat und was in den letzten Jahren zugenommen hat, dann sind das Social Attacks. Wir haben vor drei Jahren begonnen, die Awareness dafür im Haus aufzubauen", erzählte beispielsweise Christian Pfundner. Zu Beginn hätte laut dem Schrack-CIO zwar der Glaube vorgeherrscht, man wäre als Ziel zu uninteressant. Nachdem aber entsprechende Berichte von anderen, vergleichbaren Firmen aufgetaucht wären, hätte ein Umdenken eingesetzt: "Daraufhin ist unser Management hellhörig geworden und hat mit einer beeindruckenden Geschwindigkeit begonnen zu analysieren, welche Dinge wirklich kritisch sind. Das sind typischerweise zwei Dinge: an Credentials zu kommen, um Daten absaugen zu können, und auf der anderen Seite Zahlungsströme auszulösen." Die Konsequenzen, die man bei Schrack gezogen hat: Neben Investitionen in "technische" IT-Security wird auch auf Prozessebene für Sicherheit gesorgt – zum Beispiel durch intensive Mitarbeiterschulung Auch für die Wienerberger AG sind sind die Mitarbeiter einer der Schlüssel für die Informationssicherheit. "Im Dreieck zwischen Prozessen, Technologie und Menschen haben für mich die Menschen sehr, sehr große Bedeutung. Denn die Social-Engineering-Varianten werden immer ausgefeilter. Die nötige Awareness zu schaffen ist eine große Herausforderung. Wir haben ein weltweites Programm aufgezogen, um Mitarbeiter für solche Themen zu sensibilisieren", sagte Christoph Schacher und ergänzte: "Auf der anderen Seite spielen die Menschen für mich eine sehr große Rolle, wenn ich an Prozesse und Technologien denke, weil sie ja diejenigen sind, die diese Prozesse dann auch umsetzen und die Technologie nutzen. Die schönste Technologie nützt mir nichts, wenn sie umgangen wird, weil man zum Beispiel in der Cloud schnell etwas zukauft."
Aus Fehlern lernen
Apropos umgangen: Der zuvor erwähnte Fuß in der Tür muss nicht unbedingt metaphorisch verstanden werden. Oft genug handelt es sich um einen echten Fuß, der sich auch von keinem Anti-Virus und keiner Firewall aufhalten lässt. "IT-Security muss klassisch die Technik absichern. Aber der vermeintliche DHL-Mann oder der Pizzalieferant geht einfach durch die Tür. Wenn er weiß, dass der Geschäftsführer gerade nicht da ist, geht er in sein Büro, steckt einen Keylogger an und die Sache ist gegessen. Es gibt leider so viele Facetten. Einen Teil kann man technisch abdecken, ich kann die Leute auf der Prozessebene schulen, ich brauche eine physische Barriere", lenkte Christian Pfundner die Aufmerksamkeit auf einen nicht minder wichtigen Aspekt. Ein weiterer wichtiger Aspekt ist auch, Fehler nicht rigoros abzustrafen, sondern aus ihnen zu lernen. Christian Wiesener: "Die Mitarbeiter dürfen keine Angst haben. Nach dem Motto: Ich habe irgendwo draufgeklickt und sage es lieber niemandem. Das ist ganz schlecht. Besser ist es, offen zuzugeben wenn ein Problem passiert ist." Thomas Masicek fasste zusammen: "Die typischen Betrugsgeschichten von früher gibt es jetzt in einer digitalisierten Version. Man nutzt also einerseits Social Engineering mit neuen Technologien, verknüpft mit ganz alten Betrugsmaschen. Im B2B geht es teilweise um sehr große Summen, da sind auch die Schäden für die Unternehmen schnell sehr groß. Das kann wirklich jeden treffen, egal ob er eine ganz ‘analoge’ Produktion hat, die überhaupt nicht in Verbindung mit der IT steht, oder ob er komplett von IT durchdrungen ist." Ebensowenig, wie man alle seine Türen versperren und niemanden hinein- oder hinauslassen kann, kann man seine IT komplett abschotten. Geschäftsbeziehungen laufen heute großteils digital und teilweise automatisiert. IT-Security darf das nicht blockieren. Das ist auch eine der Herausforderungen, denen sich Christoph Schacher stellen muss: "Ein großes Thema für uns ist, die Security erlebbar und im Unternehmen auch als Partner wahrnehmbar zu machen – und nicht nur als Bremser, der alles aufhält." Genau das ist dem T-Systems-Experten Masicek zufolge die Kunst: das Business nicht zu behindern sondern zu unterstützen. Denn wenn man es behindere, dann würde Security schnell wieder abgedreht. "Security soll nicht heißen, dass alles zu hundert Prozent zugesperrt sein muss, denn dann kann man nicht mehr arbeiten, sondern, dass ich ein angemessenes Sicherheits-Management für meinen Geschäftsbetrieb implementiert habe." Zurücklehnen und in falscher Sicherheit wiegen darf man sich hinsichtlich Cyber Security auf jeden Fall niemals. Schön in einen Satz gepackt hat das Christian Pfundner: "Zu glauben, dass man wirklich sicher ist, ist gefährlich." Trotz der im Kern, wie anfangs festgehalten, ähnlichen Bedrohungslage hat sich in den vergangenen Jahren viel getan und sowohl die Qualität als auch die Geschwindigkeit der Angriffe hat zugenommen. Passend dazu lieferte Christian Wiesener das Schlusswort: "Security ist etwas, dass lebend ist, sich ständig wandelt und anpassen muss. Sie ist nichts Starres."