20. Jul 2022

Sichere digitale Zukunft durch beherrschbare Digitalsysteme

Sommer­gespräch mit DI Helmut Leopold, PhD

Die Zeit rast – es dauert nicht mehr lange bis unser CIS Compliance Summit 2022 in Wien und somit DIE Fachveranstaltung für Security-Verantwortliche und Entscheidungsträger jeglicher Branchen stattfindet.

Unter dem Motto „Warum das Internet of Everything Security of Everything braucht“ erwarten Sie am 20. September 2022 spannende Keynote-Präsentationen inkl. Best Practices und Networking im Austria Trend Hotel Savoyen Wien.

Wir haben uns im Vorfeld mit dem Keynote-Speaker DI Helmut Leopold, PhD, Head of Center for Digital Safety & Security am AIT Austrian Institute of Technology, über Digitalisierung, die zunehmende Wichtigkeit von OT-Security und Bewusstseinsbildung unterhalten.

Hier geht's zum Programm!

 

Herr Leopold, Ihr Vortragstitel lautet „Sichere digitale Zukunft durch beherrschbare Digitalsysteme“. Können Sie uns das Thema „Digitalisierung“ und den aktuellen Status Quo kurz skizzieren?

Helmut Leopold: Digitalisierung ist per se nichts Neues und es gibt sie – je nachdem welche Perspektive man wählt – seit etwa 20 bis 30 Jahren in Form von Internet, PC und Smartphones. Dass aber nun diverse Maschinen wie z.B. Fahrzeuge, Haushaltsgeräte oder ganze Fabriken miteinander vernetzt werden – das sind im Zuge der Industrie 4.0, der Digitalisierung im Automotive-Bereich und dem Internet of Things (IoT) neue Entwicklungen.

Somit umfasst die Digitalisierung nahezu jedes physische Element – fast alles, ob Autos, Spielzeuge oder Kühlschränke, bekommt sozusagen eine Software und wird mit dem Internet verbunden. Damit entsteht eine weitreichende Abhängigkeit, globale Erreichbarkeit und umfassende Digitalisierung auf vielen Ebenen.

Diese Digitalisierung ist bereits so weit fortgeschritten, dass wir ohne diese nicht mehr arbeiten, Auto fahren und mittlerweile auch nicht mehr leben können – denn Gesellschaft und Wirtschaft sind unabdingbar davon abhängig geworden. Das lässt sich auch an aktuellen Entwicklungen in Hinblick auf Ukraine oder China und damit verbundener Chipknappheit bzw. Energieabhängigkeit erkennen. Digitalisierung zusammengefasst heißt für mich also: Software, die Teile der Funktion übernimmt und eine Verbindung mit dem Internet herstellt – dadurch entsteht eine globale Erreichbarkeit von allen Elementen.

Aktuell häufen sich Angriffe auf die betriebliche Cyber Security geradezu – worauf ist dies zurückzuführen? Können Sie globale Trends beobachten z. B. in Zusammenhang mit der aktuellen Dynamik bzw. der Krise?

Helmut Leopold: Bis dato war die Digitalisierung meist unter Anbetracht aller Neuerungen und Möglichkeiten positiv konnotiert, galt als innovativ und fortschrittlich. Heutzutage erkennen wir mehr und mehr die wachsenden Herausforderungen und die damit verbundene Frage, wie wir Digitalsysteme „beherrschbar“ gestalten können. Also einerseits, wie wir uns vor Cyber-Kriminalität oder Datenspionage bzw. -missbrauch von außen schützen können, aber andererseits auch nach innen, wie man – unter Anbetracht der jeweiligen Supply Chain und allen Stakeholdern – Abhängigkeiten beherrschen kann.

Durch die zunehmende globale Vernetzung werden Systeme viel angreifbarer, das war vor fünf oder zehn Jahren noch nicht so. Früher hatten Betriebe z. B. einen natürlichen Schutz, da sich Unternehmen ihre Systeme selbst gebaut haben und diese nicht sofort mit dem Internet verbunden waren. Wenn jedoch alle weltweit die gleiche Software bzw. das gleiche System der „Big Player“ nutzen, wie es heute immer mehr der Fall ist, gibt es für potenzielle Angreifer weitaus mehr Möglichkeiten, Angriffe zu starten bzw. für solche international zu üben. Das gilt auch für potenzielle Bedrohungsszenarien für kritische Infrastrukturen, wie wir es täglich erleben – etwa zuletzt am Beispiel der Cyberattacke auf das Land Kärnten.

Welche Rolle spielt beim Blick auf die Zukunft auch das Thema „OT-Security“ und warum wird dieses Thema immer wichtiger?

Helmut Leopold: In der „klassischen IT-Welt“ gibt es bereits einen sehr hohen Reifegrad an Verständnis, Know-how, Experten und Expertinnen. Hier gibt es gewisse Standards und allgemein ein hohes Niveau an Professionalität – auch in der Abwehr, beispielsweise durch regelmäßige Updates.

In der anderen Welt, der „Technik- bzw. OT-Welt“, also der Welt der Steuerungstechnik, Technik im Safety-Bereich, Maschinen für z. B. Kraftwerke, herrschen andere Logiken, Voraussetzungen und andere Abläufe. Ein Flugzeug kann beispielsweise nicht Freitagabends upgedatet werden, wie es in der „Büro-IT“ gängig ist. Die Digitalisierung ist im OT-Bereich aus anderen Gründen, wie der Reduktion von Wartungskosten durch remote-Wartungen, vorangetrieben worden und es entstehen andere Angriffs- und Bedrohungsszenarien.

Die OT-Security in Einklang mit der IT-Security zu bringen, ist eine große Herausforderung für die gesamte Wirtschaft und alle Stakeholder. Die jeweils unterschiedlichen Kulturen, Systemverantwortlichkeiten und Ausbildungen müssen dringend harmonisiert werden. IT- und OT-Verantwortliche müssen enger zusammenarbeiten, auch Prozessabläufe und Systemgrenzen müssen gemeinsam neugestaltet werden, um eine höhere Resilienz der Gesamtsysteme gegen Cyber-Bedrohungen zu erreichen.

Welche Relevanz schreiben Sie der Bewusstseinsbildung und Schulung der Mitarbeitenden zu?

Helmut Leopold: Häufig sind bei Cyberangriffen unzureichend geschulte Mitarbeitende verantwortlich dafür, dass ein Eintrittstor geschaffen wird. Das kann also ein Klick auf einen Link in einer E-Mail sein, ein falsch angesteckter USB-Stick oder nicht erlaubte Geräte, die aber dennoch mit dem Netzwerk verbunden werden. Hier gilt es einerseits in die Bewusstseinsbildung und Schulungen zu investieren, aber genauso müssen andererseits die vorgegebenen Schutzmechanismen und -forderungen auch menschlich umsetzbar bzw. anwendbar sein.

Wenn die Fehlerquelle etwa darauf zurückzuführen ist, dass Mitarbeitende sich die geforderten 30-Zeichen langen Passwörter/Zeichenkombinationen nicht merken, sie diese daher auf Notizzettel schreiben und im Büro liegen lassen, ist das auch menschlich nachvollziehbar. Hier muss also das Unternehmen für ein breites Verständnis an Grundmechanismen und Abläufen und die notwendige Umsetzbarkeit sorgen.

Jeder Benutzer und jede Benutzerin ist Teil des Schutzsystems – das geht von Unternehmen aus in die breite Gesellschaft. Meiner Meinung nach sollte man bereits im Schulalter ansetzen und hier eine entsprechende Bewusstseins- und Kompetenzbildung anstreben. Es braucht also definitiv eine breitere Awareness für das Security-Thema, ein neues Verständnis und in den Unternehmen unterschiedliche Wissenslevel (vom Grundverständnis aller Mitarbeitenden bis hin zum fachspezifischen Know-how der zuständigen Personen).

Wie schätzen Sie die Lage von heimischen Unternehmen bzw. Österreich an sich im Zusammenhang mit Digitalsystemen ein?

Helmut Leopold: Die großen Unternehmen Österreichs, die z. B. ausgebildete Security-Expertinnen und –Experten in ihren Teams haben, sind auf einem sehr guten Weg und weisen zum Teil bereits ein sehr hohes Schutzniveau auf. Je kleiner die Unternehmen (besonders im Bereich OT) jedoch, desto mehr Aufholbedarf besteht. Diese Betriebe haben womöglich gerade erst begonnen Prozesse zu digitalisieren und besondere Aufwände für Cyber-Security Mechanismen sind oft noch nicht ausreichend in der Planung der Unternehmen berücksichtigt.

Auf der Herstellerseite gibt es in Österreich bereits einige international erfolgreiche Lösungsanbieter mit high-end Lösungen, viele Sicherheits-Expertinnen und -experten, sowie Forschungseinrichtungen mit führenden Kompetenzen im internationalen Vergleich. Die Herausforderung ist nun aber auf der Verständnisseite das Mindset zu etablieren, dass es sich bei Security keineswegs nur um eine Kostenstelle handelt. Der Nutzen einer ausgeklügelten Sicherheitsstrategie und Schutzmechanismen als inhärenter Bestandteil moderner digitaler Lösungen und Produkten als Grundlage für eine unbedingt notwendige Daten-Souveränität muss viel breiter verstanden werden, womit wir wieder bei der wachsenden Bedeutung entsprechender Awareness wären.

CIS Compliance Summit 2022
20.09.2022 | Austria Trend Hotel Savoyen Wien

Nicht verpassen & hier anmelden!
Wir freuen uns auf Ihr Kommen und Ihre Teilnahme!

Weitere News & Events

Immer topaktuell informiert

08. Aug 2022

6 Kritische Faktoren der ISMS Umsetzung

Kritische Faktoren der ISMS Umsetzung

Mehr erfahren
28. Jul 2022

Global Threat Report 2022: was Sie jetzt wissen müssen!

Zusammenfassung aktueller Cyber Trends und Angriffe

Mehr erfahren
19. Sep 2023

Event: CIS Compliance Summit 2023

Security | Privacy | Continuity

Mehr erfahren
05. Jul 2022

Klaus Veselko neuer VÖSI-Präsident

Fragen an den neuen VÖSI-Präsidenten

Mehr erfahren
08. Jun 2022

Was Sie beim CIS Compliance Summit 2022 erwartet!

Unsere Speaker – auch heuer wieder geballtes Know-how!

Mehr erfahren
07. Jun 2022

Cyber Defense: entscheidender Erfolgsfaktor (?)

Nur 20 Prozent der österreichischen Groß- und Mittelbetriebe geben an, dass sie über einen Krisenplan für Cyber-Angriffe verfügen.

Mehr erfahren
24. Mai 2022

Laufende Digitalisierung in der Industrie als Treiber

Shooting Star: OT-Security

Mehr erfahren
18. Mai 2022

ISO 27701: Frequently asked questions

Ihre Fragen – unsere Antworten rund um Datenschutz & Informationssicherheit

Mehr erfahren
02. Mai 2022

Vermehrte Ransomware-Attacken in der Automotive-Branche

CIS bietet TISAX-Level-2-Assessments an

Mehr erfahren
08. Mrz 2022

Risiko-Minimierung für Cloud Services

ISO 27017 minimiert Risiken für Cloud Services

Mehr erfahren
07. Mrz 2022

Der Mehrwert eines Datenschutz­managementsystems

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe zur DSGVO, Datenschutz und dem Nutzen von Zertifizierungen

Mehr erfahren
17. Feb 2022

ISO 27002:2022 – was Sie jetzt wissen müssen!

Startschuss für die neue Norm

Mehr erfahren
+43 732 34 23 22