Im Wiener Austria Trend Hotel Savoyen stand die Abwehr von Cyberangriffe gegen Firmen im Mittelpunkt der Veranstaltung. Das Thema werde immer wichtiger, da Stromkonzerne, Industriebetriebe, Spitäler und andere Anlagen und ihre "Operational Technology (OT)" immer mehr Attacken ausgesetzt seien, waren sich alle Teilnehmer:innen einig.
"Die Angreifer suchen bei ihren Zielobjekten immer nach den schwächsten Stellen. Daher braucht es zur Abwehr unbedingt Gesamtkonzepte, welche IT- und OT-Security integrieren, und nicht nur punktuelle Maßnahmen", erklärte CIS-Geschäftsführer, Klaus Veselko den rund 250 Fachbesucher:innen. Zudem gaben weitere Keynote-Speaker:innen und Expert:innen Hinweise, wie man sich gegen diese Cyberattacken in Zukunft schützen könnte.
Das Treffen
Bei der Veranstaltung, die sich mit den praxisorientierten und regelkonformen Vorgangsweisen in den Bereichen Security, Business Continuity und Privacy auseinandersetzen, war der Fokus in diesem Jahr auf die Sicherheit der Operational Technologies (OT) gerichtet. 17 Speaker:innen aus Wirtschaft und Wissenschaft hielten Vorträge und teilten ihre Erfahrungen zum Thema Security mit. Rund 250 Teilnehmer:innen aus allen Bundesländern und benachbarten Staaten nahmen am Branchentreffen teil. Dazu gehörten Führungskraft:innen, Informationsmanager:innen und Security-Vertreter:innen.
"Früher war OT-Security kaum ein Thema, weil es keine Betriebstechnologie gab, die mit dem Internet verbunden war. Heute hängen alle Computer und nahezu jede Maschine an Unternehmensnetzwerken und diese wiederum im Internet", erklärte Veselko.
Daher stellen alle Geräte eines Industrieunternehmens, Stromkonzernes, Krankenhauses und jeder anderen Organisation, ein potentielles Angriffsziel und ein mögliches Sicherheitsrisiko dar, dass auch strategischen Schutz benötigt.
Systeme sicherer machen
Helmut Leopold, Keynote-Speaker und Leiter des Center for Digital Safety & Security (DSS) beim AIT Austrian Institute of Technology, verwies in seinen Ausführungen, auf die spezifischen Merkmale von Betriebstechnologien: "Ein Flugzeug kann beispielsweise nicht einfach freitagabends upgedatet werden, wie das in der Büro-IT gängige Praxis ist. Remote-Wartungen über das Internet sind daher im OT-Bereich weitverbreitet, wobei das in der Regel zwar kostengünstiger ist, aber auch anfällig für Cyber-Attacken macht."
Leopold setzt sich für die Umsetzung einiger Punkte, die die Digitalsysteme im generellen sicherer machen müssten. Der Einsatz künstlicher Intelligenz sei für die Abwehr gegen Angriffe von entscheidender Bedeutung. Außerdem sollten seiner Meinung nach, digitale Systeme von vornherein so installiert werden, dass sie widerstandsfähig gegenüber Cyberattacken sind.
Neben gezielten Maßnahmen wie dem internationalen Informations- und Datenaustausch, müsste vor allem eine Bewusstseinsbildung und Schulung der Mitarbeiter:innen oberste Priorität haben.
Auf dem Weg zur OT-Security
Unter den Teilnehmer:innen herrschte vor allem darüber Einigkeit, dass punktuelle Maßnahmen im Bereich OT-Security völlig unzureichend sind. Auf dem Weg zu einem Sicherheitskonzept, das im Endeffekt standhalten sollte, haben sich Normen bewährt. Herzstück im Bereich der industriellen Automatisierungstechnik ist die Normenreihe IEC 62443, wie der Geschäftsführer der B-SEC better secure KG und Auditor der CIS, Thomas Bleier, betonte, der in führender Position in diversen Normungsgremien aktiv ist: "Die IEC 63442 dient in ihrem Bereich als Referenz für den Stand der Technik. Relevant ist das beispielsweise bei Ausschreibungen, Verhandlungen oder auch Gutachten. Weiters gibt es derzeit europäische Aktivitäten, um Sicherheitszertifizierungen für IT-Produkte zu etablieren. Die IEC 62443 wird vermutlich als Grundlage für Zertifizierungsschemata in diesem Bereich dienen", so die Ausführungen des Experten.
Fundament der Gesamtstrategie
Auch Zertifizierungen nach der internationalen Norm für Informationssicherheit ISO 27001 sind für viele Firmen mittlerweile ein wichtiger Bestandteil ihrer Cyber-Strategie geworden.
Der Expert Security Manager bei der Raiffeisen Bank International (RBI), Erich Dröscher, zeigte sich am Rande des CIS Compliance Summits vom Nutzen überzeugt: "Der Vorteil der ISO 27001-Zertifizierung liegt für die RBI darin, durch einen unabhängigen Nachweis über ein professionell geführtes Informationssicherheitsmanagementsystem das Kundenvertrauen in unsere Dienstleistungen weiter zu stärken. Die externe Sicht auf unser Unternehmen stellt einen Eckpfeiler unserer Gesamtstrategie dar, um den kontinuierlichen Verbesserungsprozess weiter zu forcieren."
Praxisgerechte Schutzmaßnahmen
Abgerundet wurde das Event vom österreichischen Moderator Tom Walek. In seinem Vortrag "Im Wettlauf mit der Zeit", zeigte er die Parallelen zwischen der Business-Welt und seiner Expedition zum Südpol. Betriebe, die bereits einmal Opfer eines Cyberangriffs waren, kennen den Wettlauf gegen die Zeit und die Wichtigkeit praxisnaher und gut durchdachter Schutzmaßnahmen.
CIS-Geschäftsführer Klaus Veselko thematisierte zum Abschluss der diesjährigen "CIS Compliance Summit 2022", die Fehlerquelle Mensch und plädierte für eine stärkere Bewusstseinsbildung: "Häufig sind unzureichend geschulte Mitarbeitende verantwortlich dafür, wenn ein Eintrittstor für Cyberangriffe geschaffen wurde. Das kann ein Klick auf einen Link einer E-Mail sein oder ein unerlaubt angesteckter USB-Stick. Manchmal führen aber auch lange und komplizierte Passwörter dazu, dass diese auf Spickzettel notiert und damit für Unbefugte zugänglich werden. Umfassendes Informationssicherheitsdenken muss in der Unternehmenskultur verankert werden." Genau deshalb sollten die vorgegebenen Schutzmaßnahmen in der Praxis nicht nur penibel eingehalten, sondern auch menschlich umsetzbar sein.
Der nächste Summit findet am 19. September 2023 zum Thema "New Work – Potenzial oder Provokation für Security und Privacy" statt.
www.cis-cert.com
Kommentar schreiben