21. Sep 2022

Das war der CIS Compliance Summit 2022 für Security-Entscheidungsträger

Experten präsentieren Strategien gegen Cyber-Attacken auf Betriebs­technologie

Bild v.l.n.r.: Klaus Veselko (Geschäftsführer CIS - Certification & Information Security Services GmbH), Helmut Leopold (Head of Center for Digital Safety & Security im AIT – Austrian Institute of Technology), Thomas Bleier (CIS-Auditor und Geschäftsführer der B-SEC better secure KG), Erich Dröscher (Expert Security Manager, Raiffeisen Bank International) © Anna Rauchenberger

Die Sicherheit der Operational Technology (OT) stand am 20. September 2022 im Mittelpunkt des CIS Compliance Summits im Austria Trend Hotel Savoyen in Wien. Das Thema gewinnt zunehmend an Brisanz, da die Betriebstechnologie von Industriebetrieben, Stromkonzernen, Spitälern und anderen Einrichtungen immer mehr in den Fokus von Cyber-Kriminellen rückt. „Die Angreifer suchen bei ihren Zielobjekten immer nach den schwächsten Stellen. Daher braucht es zur Abwehr unbedingt Gesamtkonzepte, welche IT- und OT-Security integrieren, und nicht nur punktuelle Maßnahmen“, erklärte CIS-Geschäftsführer Klaus Veselko den rund 250 Fachbesuchern. Hochkarätige Keynote-Speaker und zahlreiche andere Experten gaben Tipps, wie die Umsetzung gelingt.

Beim CIS Compliance Summit werden alljährlich regelkonforme und praxisorientierte Vorgehensweisen in den Bereichen Security, Privacy und Business Continuity diskutiert. Inhaltlich fokussierte das Branchenevent am 20. September 2022 in Wien auf die Sicherheit der Operational Technologies (OT). 17 Speaker aus Wirtschaft und Wissenschaft teilten auf der Bühne ihre Erfahrungen zu diesem und weiteren brandaktuellen Security-Themen und erklärten, „warum das Internet of Everything gleichzeitig Security of Everything“ braucht. Rund 250 Teilnehmer aus ganz Österreich und benachbarten Ländern folgten der Einladung zum etablierten Branchentreff und tauschten sich mit Security-Vertretern, Informationssicherheitsmanagern und Führungskräften jeglicher Branchen aus. Bei der erstmals ganztägig durchgeführten Veranstaltung wurde den Teilnehmenden außerdem ein breites Rahmenprogramm aus Networking mit 16 Ausstellern in der Innovation Zone, zwei Keynotes sowie die „Lange Nacht der Security“ geboten.

Klaus Veselko, Geschäftsführer der auf Informationssicherheit, Datenschutz, Cloud Computing, IT-Services, Rechenzentren und Business Continuity Management spezialisierten, akkreditierten Zertifizierungsorganisation CIS - Certification & Information Security Services GmbH erklärte in seiner Eröffnungsrede die Relevanz:

„Früher war OT-Security kaum ein Thema, weil es keine Betriebstechnologie gab, die mit dem Internet verbunden war. Heute hängen alle Computer und nahezu jede Maschine an Unternehmensnetzwerken und diese wiederum im Internet.“ Daher stellt jedes Gerät eines Industrieunternehmens, Krankenhauses, Stromkonzerns oder jeder anderen Organisation ein potenzielles Sicherheitsrisiko dar, das auch strategisch geschützt werden muss.

Wie Digitalsysteme sicherer werden

Keynote-Speaker des Events war Helmut Leopold, Leiter des Center for Digital Safety & Security (DSS) beim AIT Austrian Institute of Technology, Österreichs größter außeruniversitärer Forschungseinrichtung. Der Experte verwies unter anderem auf die spezifischen Merkmale von Betriebstechnologien: „Ein Flugzeug kann beispielsweise nicht einfach freitagabends upgedatet werden, wie das in der Büro-IT gängige Praxis ist. Remote-Wartungen über das Internet sind daher im OT-Bereich weitverbreitet, wobei das in der Regel zwar kostengünstiger ist, aber auch anfällig für Cyber-Attacken macht.“

Um Digitalsysteme generell sicherer zu gestalten, plädiert Leopold unter anderem für die Umsetzung folgender Punkte: Digitale Systeme sollten von vornherein so gebaut werden, dass sie widerstandsfähig gegenüber Cyber-Angriffen sind. Auch der Einsatz künstlicher Intelligenz sei für die Abwehr von Cyberangriffen sehr effektiv. Für gezielte Schutzmechanismen sollte zudem ein stärkerer internationaler Daten- und Informationsaustausch stattfinden. Und ein weiterer wichtiger Ansatz ist nicht zuletzt die Bewusstseinsbildung und Schulung der Mitarbeitenden.

Bild v.l.n.r.: Robert Jamnik (Head of Audit Services, CIS), Helmut Leopold (Head of Center for Digital Safety & Security im AIT – Austrian Institute of Technology), Klaus Veselko (Geschäftsführer CIS - Certification & Information Security Services GmbH) © Anna Rauchenberger

Guidelines auf dem Weg zur OT-Security

Genereller Tenor der Veranstaltung war, dass punktuelle Maßnahmen im Bereich OT-Security völlig unzureichend sind. Als wichtige Guidelines auf dem Weg zu einem umfassenden Sicherheitskonzept haben sich Normen bewährt. Herzstück im Bereich der industriellen Automatisierungstechnik ist die Normenreihe IEC 62443, wie Thomas Bleier, Geschäftsführer der B-SEC better secure KG und Auditor der CIS, betonte, der in führender Position in diversen Normungsgremien aktiv ist: „Die IEC 63442 dient in ihrem Bereich als Referenz für den Stand der Technik. Relevant ist das beispielsweise bei Ausschreibungen, Verhandlungen oder auch Gutachten. Weiters gibt es derzeit europäische Aktivitäten, um Sicherheitszertifizierungen für IT-Produkte zu etablieren. Die IEC 62443 wird vermutlich als Grundlage für Zertifizierungsschemata in diesem Bereich dienen“, so die Ausführungen des Experten.

Eckpfeiler der Gesamtstrategie

Auch Zertifizierungen nach der internationalen Norm für Informationssicherheit ISO 27001 sind für viele Unternehmen mittlerweile fester Bestandteil ihrer Strategie geworden. Erich Dröscher, Expert Security Manager bei der Raiffeisen Bank International (RBI), zeigte sich am Rande des CIS Compliance Summits vom Nutzen überzeugt: „Der Vorteil der ISO 27001-Zertifizierung liegt für die RBI darin, durch einen unabhängigen Nachweis über ein professionell geführtes Informationssicherheitsmanagementsystem das Kundenvertrauen in unsere Dienstleistungen weiter zu stärken. Die externe Sicht auf unser Unternehmen stellt einen Eckpfeiler unserer Gesamtstrategie dar, um den kontinuierlichen Verbesserungsprozess weiter zu forcieren.“

Die neue ISO 27001/ISO 27002:2022

Robert Jamnik, Head of Audit Services, CIS, skizzierte in seinem Vortrag relevante Neuerungen aus der Branche, die viele Unternehmen und Organisationen in den nächsten Jahren treffen werden.  Darunter etwa der überarbeitete Anhang A der ISO 27001, die neue ISO 27002:2022 inkl. dazugehörigen Maßnahmen (Controls) sowie ein Ausblick auf die NIS-Richtlinie 2.0, welche für Betreiber wesentlicher Dienste gelten wird.

Neue Ansätze für ein skalierbares Supply Chain Risk Management

Thomas Stubbings, MBA, Geschäftsführer, Cyber Trust Services GmbH, lieferte Ansätze für ein skalierbares Supply Chain Risk Management, darunter entsprechend den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit z. B. Monitoring, Dokumentation, Security Checks, Vulnerability Management, Resilienz Strategien oder auch die Definition von Policies und Verantwortlichkeiten mit entsprechender Bewusstseinsschulung von Mitarbeitenden.

Securing Cloud Services – Integrierte Sicherheitsfunktionen richtig nutzen!

Manfred Pascher, Geschäftsführender Gesellschafter von MP2 IT-Solutions:

„Cloud-Dienste sind meist out-of-the-box gut abgesichert. Gemeinsam mit unserem MP2-Standortleiter Wien und Cloud-Experten Michael Bendl zeigten wir in unserer Security-Session am Beispiel von Microsoft 365, wie man Cloud-Dienste mit wenigen Anpassungen noch sicherer machen und die Sicherheit in Unternehmen noch verbessern kann – denn neben der Verfügbarkeit sind Vertraulichkeit und Integrität die primären Schutzziele der Informationssicherheit.“

Operativer Nutzen durch Systemintegration von Business Continuity Management mit Information Security

Eckehard Bauer, MSc, Prokurist Business Development für Sicherheitsmanagement, Business Continuity, Risiko, Security, Compliance und Transport, Quality Austria, betonte die Wichtigkeit einer gesamtheitlichen Betrachtung diverser Prozesse und Managementsysteme (etwa in puncto Arbeitssicherheit und Informationssicherheit). Ein Managementsystem sei immer eine Investition in die Wettbewerbsfähigkeit von Betrieben und hilft bei strukturierten bzw. faktenbasierten Entscheidungsprozessen.

Schutzmaßnahmen müssen praxisgerecht sein

Das Branchenevent wurde von einer etwas anderen Keynote abgerundet: Der österreichische Moderator Tom Walek deckte in seinem Vortrag „Im Wettlauf mit der Zeit“ die Parallelen zwischen seiner Expedition zum Südpol und der Business-Welt auf. Grundtenor seines Vortrags:

Betriebe, die bereits Opfer einer Cyberattacke waren, kennen den Wettlauf gegen die Zeit nur zu gut und wissen über die Wichtigkeit schneller, gut durchdachter und praxisnaher Schutzmaßnahmen Bescheid. Zudem braucht es ein gut eingespieltes Team, das genau weiß, was zu tun ist.

CIS-Geschäftsführer Klaus Veselko thematisierte abschließend noch die Fehlerquelle Mensch und plädierte für eine stärkere Bewusstseinsbildung: „Häufig sind unzureichend geschulte Mitarbeitende verantwortlich dafür, wenn ein Eintrittstor für Cyberangriffe geschaffen wurde. Das kann ein Klick auf einen Link einer E-Mail sein oder ein unerlaubt angesteckter USB-Stick. Manchmal führen aber auch lange und komplizierte Passwörter dazu, dass diese auf Spickzettel notiert und damit für Unbefugte zugänglich werden. Umfassendes Informationssicherheitsdenken muss in der Unternehmenskultur verankert werden.“ Genau deshalb sollten die vorgegebenen Schutzmaßnahmen in der Praxis nicht nur penibel eingehalten, sondern auch menschlich umsetzbar sein.

Der nächste CIS Compliance Summit findet am 19. September 2023 zum Thema „New Work – Potenzial oder Provokation für Security und Privacy“ statt. Alle Infos in Kürze hier, am besten gleich im Kalender markieren.

Weitere News & Events

Immer topaktuell informiert

26. Sep 2022

41-jähriger Sicherheits-Experte ist heimischer „CISO of the Year“

Österreichs beste Chief Information Security Officer geehrt

Mehr erfahren
12. Sep 2022

Wer ist der beste CISO im ganzen Land?

Nicht mehr lange und der Titel „CISO of the Year 2022“ wird erstmals beim diesjährigen CIS Compliance Summit an die oder den besten Chief Information Security…

Mehr erfahren
19. Aug 2022

ISO/IEC 27001:2022 – was ist neu?

Was bedeutet die Revision der ISO 27001 für Unternehmen?

Mehr erfahren
08. Aug 2022

6 kritische Faktoren der ISMS Umsetzung

Kritische Faktoren der ISMS Umsetzung

Mehr erfahren
28. Jul 2022

Global Threat Report 2022: was Sie jetzt wissen müssen!

Zusammenfassung aktueller Cyber Trends und Angriffe

Mehr erfahren
20. Jul 2022

Sommer­gespräch mit DI Helmut Leopold, PhD

Sichere digitale Zukunft durch beherrschbare Digitalsysteme

Mehr erfahren
19. Sep 2023

Event: CIS Compliance Summit 2023

Security | Privacy | Continuity

Mehr erfahren
05. Jul 2022

Klaus Veselko neuer VÖSI-Präsident

Fragen an den neuen VÖSI-Präsidenten

Mehr erfahren
08. Jun 2022

Was Sie beim CIS Compliance Summit 2022 erwartet!

Unsere Speaker – auch heuer wieder geballtes Know-how!

Mehr erfahren
07. Jun 2022

Cyber Defense: entscheidender Erfolgsfaktor (?)

Nur 20 Prozent der österreichischen Groß- und Mittelbetriebe geben an, dass sie über einen Krisenplan für Cyber-Angriffe verfügen.

Mehr erfahren
24. Mai 2022

Laufende Digitalisierung in der Industrie als Treiber

Shooting Star: OT-Security

Mehr erfahren
18. Mai 2022

ISO 27701: Frequently asked questions

Ihre Fragen – unsere Antworten rund um Datenschutz & Informationssicherheit

Mehr erfahren
+43 732 34 23 22