20. Jul 2022

Sichere digitale Zukunft durch beherrschbare Digitalsysteme

Sommer­gespräch mit DI Helmut Leopold, PhD

Die Zeit rast – es dauert nicht mehr lange bis unser CIS Compliance Summit 2022 in Wien und somit DIE Fachveranstaltung für Security-Verantwortliche und Entscheidungsträger jeglicher Branchen stattfindet.

Unter dem Motto „Warum das Internet of Everything Security of Everything braucht“ erwarten Sie am 20. September 2022 spannende Keynote-Präsentationen inkl. Best Practices und Networking im Austria Trend Hotel Savoyen Wien.

Wir haben uns im Vorfeld mit dem Keynote-Speaker DI Helmut Leopold, PhD, Head of Center for Digital Safety & Security am AIT Austrian Institute of Technology, über Digitalisierung, die zunehmende Wichtigkeit von OT-Security und Bewusstseinsbildung unterhalten.

Hier geht's zum Programm!

 

Herr Leopold, Ihr Vortragstitel lautet „Sichere digitale Zukunft durch beherrschbare Digitalsysteme“. Können Sie uns das Thema „Digitalisierung“ und den aktuellen Status Quo kurz skizzieren?

Helmut Leopold: Digitalisierung ist per se nichts Neues und es gibt sie – je nachdem welche Perspektive man wählt – seit etwa 20 bis 30 Jahren in Form von Internet, PC und Smartphones. Dass aber nun diverse Maschinen wie z.B. Fahrzeuge, Haushaltsgeräte oder ganze Fabriken miteinander vernetzt werden – das sind im Zuge der Industrie 4.0, der Digitalisierung im Automotive-Bereich und dem Internet of Things (IoT) neue Entwicklungen.

Somit umfasst die Digitalisierung nahezu jedes physische Element – fast alles, ob Autos, Spielzeuge oder Kühlschränke, bekommt sozusagen eine Software und wird mit dem Internet verbunden. Damit entsteht eine weitreichende Abhängigkeit, globale Erreichbarkeit und umfassende Digitalisierung auf vielen Ebenen.

Diese Digitalisierung ist bereits so weit fortgeschritten, dass wir ohne diese nicht mehr arbeiten, Auto fahren und mittlerweile auch nicht mehr leben können – denn Gesellschaft und Wirtschaft sind unabdingbar davon abhängig geworden. Das lässt sich auch an aktuellen Entwicklungen in Hinblick auf Ukraine oder China und damit verbundener Chipknappheit bzw. Energieabhängigkeit erkennen. Digitalisierung zusammengefasst heißt für mich also: Software, die Teile der Funktion übernimmt und eine Verbindung mit dem Internet herstellt – dadurch entsteht eine globale Erreichbarkeit von allen Elementen.

Aktuell häufen sich Angriffe auf die betriebliche Cyber Security geradezu – worauf ist dies zurückzuführen? Können Sie globale Trends beobachten z. B. in Zusammenhang mit der aktuellen Dynamik bzw. der Krise?

Helmut Leopold: Bis dato war die Digitalisierung meist unter Anbetracht aller Neuerungen und Möglichkeiten positiv konnotiert, galt als innovativ und fortschrittlich. Heutzutage erkennen wir mehr und mehr die wachsenden Herausforderungen und die damit verbundene Frage, wie wir Digitalsysteme „beherrschbar“ gestalten können. Also einerseits, wie wir uns vor Cyber-Kriminalität oder Datenspionage bzw. -missbrauch von außen schützen können, aber andererseits auch nach innen, wie man – unter Anbetracht der jeweiligen Supply Chain und allen Stakeholdern – Abhängigkeiten beherrschen kann.

Durch die zunehmende globale Vernetzung werden Systeme viel angreifbarer, das war vor fünf oder zehn Jahren noch nicht so. Früher hatten Betriebe z. B. einen natürlichen Schutz, da sich Unternehmen ihre Systeme selbst gebaut haben und diese nicht sofort mit dem Internet verbunden waren. Wenn jedoch alle weltweit die gleiche Software bzw. das gleiche System der „Big Player“ nutzen, wie es heute immer mehr der Fall ist, gibt es für potenzielle Angreifer weitaus mehr Möglichkeiten, Angriffe zu starten bzw. für solche international zu üben. Das gilt auch für potenzielle Bedrohungsszenarien für kritische Infrastrukturen, wie wir es täglich erleben – etwa zuletzt am Beispiel der Cyberattacke auf das Land Kärnten.

Welche Rolle spielt beim Blick auf die Zukunft auch das Thema „OT-Security“ und warum wird dieses Thema immer wichtiger?

Helmut Leopold: In der „klassischen IT-Welt“ gibt es bereits einen sehr hohen Reifegrad an Verständnis, Know-how, Experten und Expertinnen. Hier gibt es gewisse Standards und allgemein ein hohes Niveau an Professionalität – auch in der Abwehr, beispielsweise durch regelmäßige Updates.

In der anderen Welt, der „Technik- bzw. OT-Welt“, also der Welt der Steuerungstechnik, Technik im Safety-Bereich, Maschinen für z. B. Kraftwerke, herrschen andere Logiken, Voraussetzungen und andere Abläufe. Ein Flugzeug kann beispielsweise nicht Freitagabends upgedatet werden, wie es in der „Büro-IT“ gängig ist. Die Digitalisierung ist im OT-Bereich aus anderen Gründen, wie der Reduktion von Wartungskosten durch remote-Wartungen, vorangetrieben worden und es entstehen andere Angriffs- und Bedrohungsszenarien.

Die OT-Security in Einklang mit der IT-Security zu bringen, ist eine große Herausforderung für die gesamte Wirtschaft und alle Stakeholder. Die jeweils unterschiedlichen Kulturen, Systemverantwortlichkeiten und Ausbildungen müssen dringend harmonisiert werden. IT- und OT-Verantwortliche müssen enger zusammenarbeiten, auch Prozessabläufe und Systemgrenzen müssen gemeinsam neugestaltet werden, um eine höhere Resilienz der Gesamtsysteme gegen Cyber-Bedrohungen zu erreichen.

Welche Relevanz schreiben Sie der Bewusstseinsbildung und Schulung der Mitarbeitenden zu?

Helmut Leopold: Häufig sind bei Cyberangriffen unzureichend geschulte Mitarbeitende verantwortlich dafür, dass ein Eintrittstor geschaffen wird. Das kann also ein Klick auf einen Link in einer E-Mail sein, ein falsch angesteckter USB-Stick oder nicht erlaubte Geräte, die aber dennoch mit dem Netzwerk verbunden werden. Hier gilt es einerseits in die Bewusstseinsbildung und Schulungen zu investieren, aber genauso müssen andererseits die vorgegebenen Schutzmechanismen und -forderungen auch menschlich umsetzbar bzw. anwendbar sein.

Wenn die Fehlerquelle etwa darauf zurückzuführen ist, dass Mitarbeitende sich die geforderten 30-Zeichen langen Passwörter/Zeichenkombinationen nicht merken, sie diese daher auf Notizzettel schreiben und im Büro liegen lassen, ist das auch menschlich nachvollziehbar. Hier muss also das Unternehmen für ein breites Verständnis an Grundmechanismen und Abläufen und die notwendige Umsetzbarkeit sorgen.

Jeder Benutzer und jede Benutzerin ist Teil des Schutzsystems – das geht von Unternehmen aus in die breite Gesellschaft. Meiner Meinung nach sollte man bereits im Schulalter ansetzen und hier eine entsprechende Bewusstseins- und Kompetenzbildung anstreben. Es braucht also definitiv eine breitere Awareness für das Security-Thema, ein neues Verständnis und in den Unternehmen unterschiedliche Wissenslevel (vom Grundverständnis aller Mitarbeitenden bis hin zum fachspezifischen Know-how der zuständigen Personen).

Wie schätzen Sie die Lage von heimischen Unternehmen bzw. Österreich an sich im Zusammenhang mit Digitalsystemen ein?

Helmut Leopold: Die großen Unternehmen Österreichs, die z. B. ausgebildete Security-Expertinnen und –Experten in ihren Teams haben, sind auf einem sehr guten Weg und weisen zum Teil bereits ein sehr hohes Schutzniveau auf. Je kleiner die Unternehmen (besonders im Bereich OT) jedoch, desto mehr Aufholbedarf besteht. Diese Betriebe haben womöglich gerade erst begonnen Prozesse zu digitalisieren und besondere Aufwände für Cyber-Security Mechanismen sind oft noch nicht ausreichend in der Planung der Unternehmen berücksichtigt.

Auf der Herstellerseite gibt es in Österreich bereits einige international erfolgreiche Lösungsanbieter mit high-end Lösungen, viele Sicherheits-Expertinnen und -experten, sowie Forschungseinrichtungen mit führenden Kompetenzen im internationalen Vergleich. Die Herausforderung ist nun aber auf der Verständnisseite das Mindset zu etablieren, dass es sich bei Security keineswegs nur um eine Kostenstelle handelt. Der Nutzen einer ausgeklügelten Sicherheitsstrategie und Schutzmechanismen als inhärenter Bestandteil moderner digitaler Lösungen und Produkten als Grundlage für eine unbedingt notwendige Daten-Souveränität muss viel breiter verstanden werden, womit wir wieder bei der wachsenden Bedeutung entsprechender Awareness wären.

CIS Compliance Summit 2022
20.09.2022 | Austria Trend Hotel Savoyen Wien

Nicht verpassen & hier anmelden!
Wir freuen uns auf Ihr Kommen und Ihre Teilnahme!

Weitere News & Events

Immer topaktuell informiert

15. Feb 2024

EN 50600 fördert Nachhaltigkeit

Wie passen Ressourcenfresser Rechenzentren und der European Green Deal zusammen?

Mehr erfahren
05. Feb 2024

Aktueller Stand zur Normenentwicklung EN 50600

Update für Rechenzentren 2024

Mehr erfahren
31. Jan 2024

CIS ist erste Prüfstelle für EN 50600

31. Jan 2024

Neue Firmenadresse

Wir sind umgezogen!

Mehr erfahren
29. Jan 2024

CISO of the Year: Ihr persönlicher Karrierebooster

CISO of the Year 2023 Marcel Lehner

Mehr erfahren
26. Jan 2024

CISO of the Year: Außergewöhnliche Leistungen, außergewöhnliche Auszeichnung

Sonderpreisträger Lifetime Achievement Award Thomas Schober

Mehr erfahren
24. Jan 2024

CISO of the Year: Erfolgreiche Projekte auf die Bühne

CISO of the Year 2023 Bettina Thurnher

Mehr erfahren
22. Jan 2024

Cyberattacken weltweit Nummer 1 Risiko

Neue Daten im Zuge des „Risk Barometer“ veröffentlicht

Mehr erfahren
18. Jan 2024

Praxis-Einblicke in die Umsetzung von DORA

Sind Sie von der DORA-Verordnung betroffen?

Mehr erfahren
03. Jan 2024

Resilienz im Finanzsektor – DORA

Digital Operational Resilience Act – Überblick zur EU-Verordnung

Mehr erfahren
07. Dez 2023

Bedeutende rechtliche Fortschritte für die Cyber-Security 2024

Relevante Gesetze und Richtlinien für Informationssicherheit

Mehr erfahren
13. Nov 2023

TISAX: Neuer ISA-Katalog vom VDA veröffentlicht

Wesentliche Neuerungen für Automobil-Industrie

Mehr erfahren
+43 1 532 98 90