Die aktuellen Ransomware-Angriffe rücken die IT-Security wieder verstärkt in das Zentrum der Aufmerksamkeit. Laut dem Global Threat Intelligence Report von NTT werden über alle Branchen hinweg 22% der Incident Responses durch Ransomware getriggert, alleine im Healthcare-Bereich sind es sogar 50%. Dass im Fall von Security Engagements nur 32% der Unternehmen über einen Incident-Response-Plan verfügen, ist daher höchst alarmierend. Dazu kommen neue gesetzliche Bestimmungen wie die Datenschutzgrundverordnung (DSGVO), die z.B. durch Haftungen der Geschäftsführer für etwaige Schäden die Awareness für das Thema Security zusätzlich erheblich verstärken.

Technologie alleine ist kein hundertprozentiger Schutz – Security muss in Unternehmen gelebt werden, und dafür braucht es Prozesse und vor allem die Aufmerksamkeit der eigenen Mitarbeiter. Wie Managed Security Services die IT-Abteilungen dabei entlasten können, welche Präventivmaßnahmen gesetzt werden können und wie die Trends und Prognosen für die Zukunft von IT Security aussehen, darüber diskutierten führende IT-Sicherheitsexperten und CISOs bei einem Roundtable, zu dem der CIO GUIDE und NTT Security gemeinsam eingeladen hatten. Mit dabei: Philipp Blauensteiner (BMI), Josef Hochstöger (Doka), Thomas Klein (GourmetGroup), Balint Ladanyi (Agfa Healthcare), Wolfgang Mitzner (AIT), Ernst Mosor (BMWFW), Bernhard Müller (Rohöl-Aufsuchungs AG), Norbert Neudhart (NTT Data), Matthias Resatz (Dimension Data), Thomas Snor (NTT Security) und Alfred Suchentrunk (e-shelter facility Services). Die interessante Diskussion moderierte Andreas Hajek, Mitherausgeber des CIO GUIDE und Experte für Digitale Transformation.


Es ist nicht immer der Zero-Day-Exploit der bei einem Angriff ausgenutzt wird, in den meisten Fällen ist es Social Engineering.“

Philipp Blauensteiner

Leiter des Cyber Security Centers beim Bundesministeriums für Inneres

Es ist nicht immer der Zero-Day-Exploit der bei einem Angriff ausgenutzt wird, in den meisten Fällen ist es Social Engineering.“

Philipp Blauensteiner

Leiter des Cyber Security Centers beim Bundesministeriums für Inneres

Die Anzahl und Professionalität der Attacken steigt weiterhin massiv. Es kommt vor, dass Angreifer bereits ein Jahr vorher Daten in Unternehmen sammeln, bevor sie konzipierte Attacken starten. 

Weiterlesen

Ransomware wird als Crime as a Service angeboten und breitflächig ausgerollt. Die Schadenssumme wird dabei bewusst meist so gering gehalten, dass sie problemlos aus der Portokasse bezahlt werden kann. Das ist das übliche Geschäftsmodell bei diesen Angriffen, wobei es auch Fälle gibt wo sogar Millionenbeträge überwiesen werden. Die Einfallstore für die Angriffe sind oft überraschend, bei der Supermarktkette Target, wo POS-Systeme und Kassensysteme infiziert wurden, war es eine nicht richtig gesicherte Klimaanlagensteuerung in einem unsegmentierten Netzwerk. Von dort aus konnte man sich weiter hanteln. Es gab zwar ein IPS (Intrusion Prevention System), das Alarm gegeben hat, das wurde jedoch ignoriert, weil die IT-Security-Basisregeln nicht eingehalten wurden. Das zeigt deutlich, dass Technik alleine nicht schützen kann, sondern dass es auch Prozesse und die einzelnen Mitarbeiter braucht.

Schliessen

„Viele Unternehmen denken: Wer soll denn bei uns schon etwas holen?“

Josef Hochstöger

Director Coporate IT Doka GmbH

„Viele Unternehmen denken: Wer soll denn bei uns schon etwas holen?“

Josef Hochstöger

Director Coporate IT Doka GmbH

Wie wichtig es ist, Awareness für IT-Risiken und Cyber-Angriffe zu schaffen, war auch ein großes Thema bei der letzten IKT Sicherheitskonferenz in St. Johann.

Weiterlesen

Wir selbst sind vor etwa 10 Jahren auch einmal mehr oder weniger durch Zufall darauf gekommen, dass ein Mitarbeiter Daten abgesaugt hat – anfangs dachten wir es handelt sich um ein technisches Leitungsproblem. Als Zulieferer in der Bauindustrie haben wir so wie viele andere Unternehmen und Branchen auch lange Zeit gedacht: Wer soll denn bei uns schon irgendwas holen? Aber vor ein, zwei Jahren waren wir mit Cryptoviren konfrontiert und seit einem halben Jahr beobachten wir vor allem das Thema Ransomware eingehend. Wo die Awareness und auch die Transparenz noch gänzlich fehlen, sind IOT-Geräte in Unternehmen genauso wie in privaten Haushalten.

Schliessen

„Unser Unternehmen ist sehr vertriebsorientiert, da spielt das Thema Komfortverlust durch Security eine große Rolle.“

Thomas Klein

Leitung IT GourmetGroup

„Unser Unternehmen ist sehr vertriebsorientiert, da spielt das Thema Komfortverlust durch Security eine große Rolle.“

Thomas Klein

Leitung IT GourmetGroup

Durch neue Gesetzgebungen und Haftungen der Geschäftsführung wird das Thema Security in vielen Unternehmen zunehmend ernster genommen.

Weiterlesen

Die Komplexität unserer Systeme hat sich die letzten Jahren hindurch beinahe verhundertfacht, gleichzeitig ist die IT-Organisation mit 14 Mitarbeitern gleich schlank geblieben. Natürlich kann man einiges an Arbeit durch Tools rationalisieren, aber ich brauche in der IT mindestens zwei Personen die das Thema Security beherrschen. Es braucht ja nicht nur einen Virenschutz, sondern Ransomware-Schutz, End-to-End Security, interne und externe Firewalls und so weiter – da ist man ständig damit beschäftigt, herauszufinden ob die Lösung die wir gerade einsetzen, überhaupt noch die richtige ist. Ich glaube schon, dass ich mit Applikationen in der Cloud einen Benefit habe, denn große Anbieter können sich einen Security Incident kaum leisten.

Schliessen

„Es geht darum Risk Management zu etablieren, bei jeder Änderung muss eine neue Risikoanalyse beim Kunden durchgeführt werden.“

Balint Ladanyi

CMTPS Global Manager Service Delivery Agfa Healthcare

„Es geht darum Risk Management zu etablieren, bei jeder Änderung muss eine neue Risikoanalyse beim Kunden durchgeführt werden.“

Balint Ladanyi

CMTPS Global Manager Service Delivery Agfa Healthcare

Wir bekommen täglich Anfragen von externen und internen Kunden, die Gadgets haben wollen und diese IOT-Geräte stellen wir ihnen vernetzt zur Verfügung – da entsteht ein Gap zur Security.

Weiterlesen

Meiner Meinung nach muss man wie z. B. nach ISO/IEC 27001 einen Risk Owner definieren und der entscheidet im Zuge der Risikoanalyse, ob das Risiko und die Kosten akzeptiert werden können. Wenn die Risk Owner verantwortlich sind, haben sie auch Interesse daran, Risiken zu beseitigen. Letztlich ist die Geschäftsleitung dafür verantwortlich, was in einem Unternehmen passiert. Schließlich geht es bei diesen Themen um handfeste Summen pro Incident. Die hohen Strafen im Rahmen der DSGVO machen vielen Firmen bewusst, dass sie es nicht im Alleingang schaffen werden, diese Richtlinien einzuhalten und dass sie eigentlich keine andere Wahl haben als die Infrastruktur von Spezialisten mit dem entsprechenden Know-how und finanziellem Hintergrund schützen zu lassen oder sie in eine Managed Security Cloud zu geben. Dieses Geschäft wird in den nächsten Jahren boomen.

Schliessen

„Eine Managed Security Cloud entbindet mich nicht meiner Verantwortung.“

Wolfgang Mitzner

CIO AIT Austrian Institute of Technology

„Eine Managed Security Cloud entbindet mich nicht meiner Verantwortung.“

Wolfgang Mitzner

CIO AIT Austrian Institute of Technology

Das Datensammeln by Design, egal ob durch die NSA oder für Marketing-Zwecke ist ein Milliardengeschäft, das nicht mehr abgedreht werden kann, weil es durch die Regierungen und Organisationen gestützt bzw. gebilligt wird.

Weiterlesen

Beim AIT handhaben wir die Business Applications ähnlich wie das Risk Management: Es gibt immer einen verantwortlichen Business Application Owner, zumindest auf der Applikationsebene ist so die Verantwortlichkeit klar zugeteilt. Bei Security sehe ich das jedoch etwas differenzierter, denn wenn ich einen Security Breach habe, dann betrifft das alle und nicht nur den Owner. Auch mit einer Lösung in der Cloud ist man von der Verantwortung für die Daten, die dort liegen, und die Protokolle, die mitgeschrieben werden, nicht entbunden, auch nicht durch gesetzliche Mechanismen wie die DSGVO. Im Gegenteil: Ich habe die Verantwortung gegenüber meinen Kunden und ich muss z.B., auch, wenn ich in die Cloud auslagere, sicherstellen, dass die Daten trotzdem löschbar bleiben. Große Cloud-Anbieter sind sehr starr was ihr Angebot betrifft, haben Standard-Procedere und Non-Disclosure-Agreements. Da tun sich oft Themen auf, bei denen wir gemeinsam mit unserer Rechtsabteilung klären müssen, was wir an Absicherung brauchen und bekommen.

Schliessen

„Das Problem ist, dass die IOT Geräte meistens nicht von IT-Leuten betreut werden.“

Ernst Mosor

Stv. CIO des Bundesministeriums für Wissenschaft, Forschung und Wirtschaft

„Das Problem ist, dass die IOT Geräte meistens nicht von IT-Leuten betreut werden.“

Ernst Mosor

Stv. CIO des Bundesministeriums für Wissenschaft, Forschung und Wirtschaft

Services, mit denen man IOT-Geräte anpingen kann, um festzustellen ob sie gesichert sind oder nicht sind sehr sinnvoll, denn was in der Zwischenschicht zur Hardware der IOT-Geräte, der Firmware und dem Controller passiert, scheint oft ein Blindfleck zu sein.

Weiterlesen

Man kann Firmware in die Geräte einspielen, es gibt es keine Qualitätssicherung und man weiß nicht, was die Software die da bereits drinnen ist und die noch dazu oft im Betriebssystem sitzt, anstellt. Die letzten kritischen Exploits die wir hatten, kamen auch aus dieser Richtung. Deshalb ist aus meiner Sicht auch der OWASP Service sehr hilfreich, der die Sicherheit von Anwendungen und Diensten im WWW verbessert und die zehn wichtigsten Sicherheitslücken bei IOT-Geräten auflistet, um genau diese Sicherheitslücken zu vermeiden. Denn selbst wenn man als normaler Verbraucher USB Sticks regulär kauft, stellen die bereits eine Sicherheitslücke dar und eine Gefahr sich Programme einzuspielen.

Schliessen

„Ein Punkt ist, dass man alle Komponenten in Zukunft sicherheitszertifizieren muss, da gibt es bereits Bestrebungen in diese Richtung wie durch den TÜV.“

Bernhard Müller

IT-Leiter bei Rohöl-Aufsuchungs AG

„Ein Punkt ist, dass man alle Komponenten in Zukunft sicherheitszertifizieren muss, da gibt es bereits Bestrebungen in diese Richtung wie durch den TÜV.“

Bernhard Müller

IT-Leiter bei Rohöl-Aufsuchungs AG

Die Netzwerksegmentierung als Methode ist schön, wird aber zunehmend als nicht sicher genug betrachtet.

Weiterlesen

Auch wenn der Trend vor einigen Jahren war, dass IT und IOT verschmelzen, haben wir als produzierendes Industrieunternehmen gerade ein Projekt laufen, um abzuschätzen wie groß der Aufwand wäre IOT und IT wieder komplett zu trennen, obwohl wir Firewalls beim Prozessleitsystem haben. Security Awareness ist für uns als IT-Leiter etwas ganz Wichtiges und auch, wenn die DSGVO natürlich sehr viel Aufwand mitbringt, hat man nun eine Chance endlich etwas bewegen. Wir sehen das intern bei uns im Haus: Plötzlich wird Komfortverlust durch Security in Kauf genommen, was nicht immer so war. Wenn man sich den Cyber-Angriff auf FACC letztes Jahr ansieht, war da schon viel Social Engineering dabei. Die Kriminellen haben da sehr gut recherchiert, wer wofür verantwortlich ist und wer z. B. neu in der Controlling-Abteilung war.

Schliessen

„Man kann sich Malware, Ransomware, DDOS Bots kaufen, und damit verdienen die Entwickler viel mehr als mit kommerzieller Nutzung.“

Norbert Neudhart

Senior Consultant NTT Data

„Man kann sich Malware, Ransomware, DDOS Bots kaufen, und damit verdienen die Entwickler viel mehr als mit kommerzieller Nutzung.“

Norbert Neudhart

Senior Consultant NTT Data

Cyber-Attacken sind extrem billig, Ransomware und DDOS Angriffe, mit denen Firmen komplett lahmgelegt werden, sind um 60 Euro pro Tag möglich.

Weiterlesen

Das ist ein richtiges Channel Model mit 7/24 Support und „Geld zurück“-Garantie und das sind natürlich Faktoren, warum Cyber Crime so starkwächst und warum zunehmend auch besonders KMUs betroffen sind. Die Sicherheitsthematik gibt es in der IT schon seit 20 Jahren, aber wenn sie die Security tatsächlich im Griff hätte, wären die aktuellen Angriffe wie WannaCry nicht so erfolgreich, denn solche Angriffe könnten in vielen Fällen durch zeitgerechtes Patchen verhindert werden. Die Aufgabe der Security ist es Anomalien festzustellen, Awareness zu schaffen und Regelwerke aufzustellen. Operativ spielt Zeit eine immer entscheidendere Rolle: schnell zu reagieren und Sicherheitslücken, von denen man die meisten kennt, rasch zu schließen.

Schliessen

„Die Technologie entwickelt sich viel schneller als sich die Prozesse nachziehen lassen um eine zuverlässige Basis-Sicherheit zu schaffen.“

Matthias Resatz

Director Solutions bei Dimension Data

„Die Technologie entwickelt sich viel schneller als sich die Prozesse nachziehen lassen um eine zuverlässige Basis-Sicherheit zu schaffen.“

Matthias Resatz

Director Solutions bei Dimension Data

Security braucht eine End-to-End Sicht, mit Security Devices alleine ist es nicht getan. Jede Applikation, jedes End-Gerät muss sicher sein und das liegt einerseits am Hersteller und andererseits an der Einbindung in ein Security-Konzept.

Weiterlesen

Wenn in einem Unternehmen ein Videoüberwachungssystem angeschafft und installiert wird, dann macht das die Facility-Abteilung, die mit der IT gar nichts zu tun hat, und hängt die Anlage in das normale LAN hinein. Dann muss man nur noch eine DMZ bauen, wenn die Anlage schon im Internet hängen muss, und damit habe ich wahrscheinlich 80% der Angriffe abgewehrt. Es ist auch nicht die Lösung, wenn die Kunden alles in die Cloud schicken und dann nichts mehr mit dem Thema zu tun haben, das funktioniert per se nicht. Security setzt sich aus verschiedenen Faktoren zusammen – die IT-Security kann man teilweise in die Cloud verschieben, den physischen Faktor und den Faktor Mensch allerdings nicht. Managed Security Services sind eine Lösung, die hier wertvoll und umfassend unterstützen kann, doch die Verantwortung bleibt letztlich dennoch beim Kunden, beim Geschäftsführer, und um diese tatsächlich wahrnehmen zu können, braucht es Prozesse.

Schliessen

„Security muss Teil eines Business Requirements sein, dafür müssen Cultural Environments definiert werden.“

Thomas Snor

Country Leader Austria NTT Security

„Security muss Teil eines Business Requirements sein, dafür müssen Cultural Environments definiert werden.“

Thomas Snor

Country Leader Austria NTT Security

Es geht bei Security nicht nur um Technologie, sondern die Mitarbeiter müssen vernünftig auf dieses Thema geschult werden, Security muss in Unternehmen gelebt werden.

Weiterlesen

Schon das einfache Testen von Incident-Response-Plänen würde die Vulnerabilität der Unternehmen wesentlich vermindern. Eine 100 %-ige Sicherheit ist natürlich nie möglich und gerade IOT-Geräte sind genauso zu sehen wie Rechner, nur mit der Eigenschaft, viel stärker angreifbar zu sein – IOT-Alarmanlagen und Türöffner etwa dienen oftmals als Einfallstor für eine Attacke. Eine Web-Kamera ist viel gefährdeter als irgendein großer Server, der hinter einer Firewall in einer DMZ abgeschottet ist. Dieser Umstand findet in den meisten Unternehmen leider nicht genügend Aufmerksamkeit. Man sollte sich gezielt darauf fokussieren, Transparenz zu schaffen, um z.B. mitzubekommen, ob eine auffällige Kommunikation zwischen den Geräten stattfindet. Das ist meines Erachtens die einzige Möglichkeit dagegen vorzugehen.

Schliessen

„Security ist eine Frage der Awareness, und ein Thema, das in Unternehmen gelebt werden muss.“

Alfred Suchentrunk

Director Sales bei e-shelter facility Services

„Security ist eine Frage der Awareness, und ein Thema, das in Unternehmen gelebt werden muss.“

Alfred Suchentrunk

Director Sales bei e-shelter facility Services

In den 1960er Jahren hätte man sich einen Security Check am Flughafen nicht vorstellen können und heute leben wir alle damit, auch wenn zu Lasten des Komforts.

Weiterlesen

Security ist unerhört komplex und beginnt mit der physischen Security – da gehören abhörsichere Leitungen genauso dazu wie eine sichere Infrastruktur, und daran knüpfen viele weitere unterschiedliche Aspekte an. Security mündet in einen sehr arbeitsteiligen Prozess, wo jeder seinen Beitrag dazu leisten muss, um sicherzustellen, dass seine Prozesse sicher ablaufen. Unternehmensrisiken werden im klassischen Projektmanagement ähnlich wie im guten alten Kartenspiel Schwarzer Peter verteilt. Letztlich hat den schwarzen Peter am Ende immer das Management, ein geschickter Projektmanager verteilt die Karten jedoch so, dass in der gesamten Organisation die Verantwortung übernommen wird, den schwarzen Peter nicht zu bekommen. Ein wesentlicher Unterschied zum Kartenspiel ist, dass man die Karten oft nicht neu mischen und von vorne anfangen kann.

Schliessen