B2B
19.10.2018

IT-Sicherheit: "Man kann sich nicht gegen alle Angriffe erfolgreich wehren"

Gesetzliche Regulierung, Fachkräftemanel und Bedrohungsszenarien: Bei der IKT-Sicherheitskonferenz des Bundesheeres in Alpbach diskutierten Experten über Cybersicherheit in Österreich.

Wo stehen wir in Bezug auf IT-Sicherheit? Bei der Vortragsreihe "Mensch & IT-Sicherheit in der Digitalisierung", die das Kuratorium Sicheres Österreich (KSÖ) bei der IKT-Sicherheitskonferenz des Bundesheeres am Mittwoch in Alpbach ausrichtete, erörterten Experten aus Wirtschaft und Wissenschaft sowie Vertreter von Behörden diese Frage. 

Die sozialen Auswirkungen der Digitalisierung waren ebenso Thema der Veranstaltung, wie Personalpolitik und Führung, die Bedeutung, die IT-Sicherheit in Unternehmen einnimmt, der Umgang mit komplexen Problemstellungen und Cybersecurity in der Softwareentwicklung.

Die Digitalisierung verändert Unternehmen und erhöht die Komplexität der Prozesse. Die Bedeutung von Daten nimmt zu, die Vernetzung steigt. Das erhöht die Anforderungen an die Sicherheit und ihren Stellenwert in Unternehmen. Sicherheit müsse in die Chefetage, sagte Peter Gerdenitsch der bei der Raiffeisen Bank International (RBI) für Cybersicherheit zuständig ist: "Unsere höchst zu schützenden Güter sind die IT und die dahinterliegenden Daten." Man könne sich zwar nicht gegen alle Angriffe erfolgreich wehren. Gegen staatliche Akteure sei man oft chancenlos. Man müsse aber dennoch Maßnahmen treffen, um die Angriffe zu entdecken und ihnen entgegenzuwirken. 

NIS-Gesetz "wichtiger erster Schritt"

Welche Rolle spielt der Staat und welche Auswirkungen haben gesetzliche Regulierungen wie etwa das Gesetz zur Netzwerk- und Informationssicherheit (NIS), das in Österreich noch bis Ende Oktober in der Begutachtung ist? Das NIS-Gesetz sei ein wichtiger erster Schritt, sagte Gernot Goluch, der im Innenministerium für die operative Umsetzung des Gesetzeswerkes verantwortlich ist. Mit den Betreibern wesentlicher Dienste seien die wichtigsten Unternehmen vom Gesetz erfasst. Der Staat verpflichte sie, Sicherheitsmaßnahmen zu ergreifen und Angriffe zu melden. Wichtig sei aber, dass der Staat auch etwas zurückgeben könne. Bei gewissen Angriffen habe man nur durch die Kooperation mit den Behörden eine Chance. Gemeinsam sei man besser gewappnet.

Ob die Anforderungen an die Unternehmen auch auf deren Lieferkette "durchtröpfeln" werden, werde sich zeigen, meinte Goluch

"Gesetzliche Regelungen können helfen"

Gesetzliche Regelungen könnten sehr viel helfen, meinte Peter Teufl von A-SIT. Die Datenschutzgrundverordnung (DSGVO), die seit Mai durchgesetzt wird, habe bewirkt, dass auch kleinere Unternehmen sich dem Prozess der Risikoanalyse stellen mussten. Vor bestimmten Angriffen könne man sich allerdings nicht wehren, kleine Unternehmen hätten auch gar nicht die Ressourcen dazu, meinte der Experte, man müsse aber verstehen, wo die wesentlichen Punkte seien und sich dann darauf fokussieren.

Was kann die Sicherheitsforschung beitragen? Forschung werde immer wichtiger, sagte Maria Leitner, Cybersicherheitsexpertin beim AIT Austrian Institute of Technology. "Wir versuchen Unternehmen zu unterstützen, effektivere Methoden und Werkzeuge zur Erkennung und zur Abwehr von Angriffen zu schaffen." Dabei sind vor allem die Zusammenarbeit und der Austausch zwischen Industrie, Forschung und Behörden wichtig. 

Fachkräftemangel

Zu schaffen macht der Sicherheitsbranche allerdings der Fachkräftemangel. "Der Markt ist leer geräumt", sagte RBI-Sicherheitschef Peter Gerdenitsch. "Universitäten und Fachhochschulen haben nicht genug Absolventen."

Die Anforderungen an Sicherheitsspezialisten würden immer höher. Wer sich damit beschäftigte, müsse sich jedes Jahr neu erfinden, weil sich die Technik rasant weiterentwickle. Eine Herausforderung bestehe auch darin, wie Themen vermittelt werden könnten, die längere Zeit Relevanz haben, sagte Teufl, der auch an der Technischen Universität Graz lehrt.

Fachkräfte, die Expertise in den Bereichen haben, die sie schützen sollten, seien schwer zu finden, meinte Goluch. "Es ist ein Unterschied, ob ich hacken kann oder in der Verteidigung arbeite." Sicherheit müsse generell Bestandteil der Ausbildung von Informatikern werden, regte KPMG-Experte Robert Lamprecht an. 

"Sicherheitsschlachtfeld" Internet der Dinge

"Was wird das nächste Sicherheitsschlachtfeld sein?", fragte Moderator Wolfgang Rosenkranz vom KSÖ. Das gebe es bereits im Internet of Things (IoT) , sagte KPMG-Sicherheitsexperte Lamprecht. Die Basishygiene werde bei IoT-Geräten nicht eingehalten, viele seien unzureichend abgesichert, es gebe auch kaum Updates. "Für Angreifer hat das großes Potenzial."

Die Entwicklung sei für viele Hersteller zu schnell gegangen, meinte Gernot Goluch vom Innenministerium.

"Bedrohungsszenarien werden vielfältiger"

Und wie geht es weiter? Die Bedrohungsszenarien werden vielfältiger, sagte RBI-Sicherheitschef Peter Gerdenitsch. "Es wird Bedrohungen geben, die wir noch nicht am Radar haben. Unsere Aufgabe ist es, uns aufzustellen und an der Basis anzusetzen und Sicherheit in allen Aspekten der IT mitzudenken."

Bei der Sicherheit im Internet der Dinge gehe man gerade durch das Tal der Tränen, meinte KPMG-Cybersicherheitsexperte Lamprecht. In fünf Jahren sollten wir aber eine gewisse Basishygiene erreicht haben.

"Ohne Gurte auf der Autobahn"

Derzeit sei man in der Phase, wo man noch ohne Gurte auf  Autobahnen brettere, sagte Goluch vom Innenministerium in Analogie zur Sicherheitsentwicklung bei Kraftfahrzeugen. Das Nachdenken über Sicherheitsmaßnahmen habe aber auch im Bereich des Internet der Dinge begonnen. In der Forschung gebe es noch viel zu tun, sagte Maria Leitner vom AIT. Wichtig sei es, die Zusammenarbeit zwischen Industrie, Behörden und Forschung aufrechtzuerhalten: "Das Bewusstsein dafür ist in Österreich sehr gut."

Die Themen werden uns nicht ausgehen, meinte Sicherheitsspezialist Teufl. Die Frage sei, ob wir wissen welche Risiken auf uns zukommen, wenn wir uns weiter vernetzen. Vor 15 Jahren hätte niemand gedacht, dass jemand Profile aus sozialen Netzwerken abgreife, um damit politische Werbung zu machen, meinte Teufl unter Verweis auf den Skandal um Facebook-Daten bei Cambridge Analytica. "Es besteht die Gefahr, dass wir nicht mehr in der Lage sind, die Risiken abzuschätzen."

Dieser Artikel ist im Rahmen einer bezahlten Kooperation zwischen futurezone und dem Kuratorium Sicheres Österreich (KSÖ) entstanden.