Bei einem virtuellen runden Tisch des Report diskutierten am 2. Juli Sicherheits- und Datenmanagement-Experten über Ausfallssicherheit in der Technik und das Thema „Business Continuity“ – vom Homeoffice und Maschinenpark bis zur Cloud.
In der Corona-Krise wurde oft schnell gehandelt: Geschäftskontinuität hatte Vorrang vor der Sicherheit. Doch wenn bei einem Sicherheitsvorfall Dateninfrastrukturen sogar bis zum Backup lahmgelegt werden, kostet das nicht nur Geld und Reputation – es gefährdet den Fortbestand des Unternehmens. Wie kann die IT nun aufgestellt werden, um nach Attacken den Betrieb rasch wiederherzustellen? Welche Prozesse sind dazu automatisierbar? Mit Martin Szelgrad, Report Verlag, diskutierten Gerhard Raffling (Commvault), Franz Hoheiser-Pförtner, (Cyber Security Austria), Michael Mrak (Casinos Austria) und Markus Seme (BearingPoint).
Kurzer Videoschnitt des Gesprächs unter youtu.be/5eXlctxL4Qg
Die Diskutanten:
Gerhard Raffling ist Geschäftsführer von Commvault, einem Anbieter von Backup-, Recovery- und Archivierungslösungen on Premises und in der Cloud. Der Österreicher ist Country Manager für Österreich und Schweiz und bringt langjährige Erfahrung rund um das Thema Datensicherheit ein.
Franz Hoheiser-Pförtner ist Vorstandsmitglied von Cyber Security Austria – des Vereins zur Förderung der Sicherheit Österreichs strategischer Infrastruktur. Er hat langjährige Erfahrung mit Sicherheitsstrategien im Gesundheitssektor und ist Certified Information Systems Security Professional (CISSP).
Michael Mrak ist Head of Department Compliance & Information Security bei der Casinos Austria AG und der Österreichischen Lotterien GmbH und seit 2001 auch Datenschutzbeauftragter der Unternehmensgruppe. Er ist zudem im Vorstand des Vereins privacyofficers.at, der sich mit der Awareness und Umsetzbarkeit von Datenschutz-Maßnahmen auseinandersetzt.
Markus Seme ist Geschäftsführer der BearingPoint GmbH Austria und leitet den Standort des Strategieberaters und IT-Dienstleisters in Unterpremstätten. Er hat mit einem Team findiger IT-Spezialisten über die Jahre eine breite Palette von Security-Services aufgebaut.
Report: Wie ist es generell um die IT-Sicherheit in Unternehmen in Österreich bestellt? Was hat sich seit März verändert?
Gerhard Raffling, Commvault: Wir bemerken seit ein bis zwei Jahren einen relativ starken Anstieg von Cyberkriminalität in unserer Region, der für einzelne Unternehmen natürlich auch verheerende Folgen hat. Es gibt Berichte, die von einem Anstieg seit Beginn der Corona-Krise von 33 % sprechen – dies im Vergleich zu klassischen Haushaltseinbrüchen, die in Österreich deutlich zurückgegangen sind. Auf Unternehmensseite wurden dazu entsprechend Budgets erhöht. Einem Bericht von Gartner zufolge wird deutlich mehr in IT-Sicherheit und Disaster Recovery investiert. Es ist letztlich ein Wettrüsten mit Cybercrime, das regelrecht zu einem Industriezweig geworden ist. Nicht nur die IT-Branche, auch die Gegenseite setzt mittlerweile Machine-Learning und künstliche Intelligenz ein, um ihre jeweiligen divergierenden Ziele zu erreichen. Durch die Corona-Krise und die flächendeckende Nutzung von Homeoffice wurde die Angriffsfläche für Phishing-Mails und Trojaner vielerorts massiv vergrößert. Zu Hause klickten die Nutzer einfach öfter auf vermeintliche Mails, als dies in einem Unternehmen der Fall wäre. Unternehmen sind hier gut beraten, ihre Mitarbeiterinnen und Mitarbeiter zu schulen und hier die Awareness in Sicherheitsfragen zu fördern.
Bild: Gerhard Raffling ist Geschäftsführer von Commvault
Commvault beschäftigt sich seit gut 20 Jahren mit Backup-Lösungen. Wir bieten heute Daten- und Informationsmanagement für Unternehmen aller Größen und sehen unsere Lösungen als „last line of defense“: Im schlimmsten Fall – wenn alles schief gegangen ist – müssen Unternehmen zumindest auf ein funktionierendes Backup zurückgreifen können, um unternehmenskritische Daten wieder herstellen zu können. Ich empfehle Unternehmen, dazu auch ein „Recovery Readyness“-Konzept zu erstellen: Welche Daten brauche ich unbedingt für den laufenden Betrieb und in welcher Zeit? Was muss rasch – das bedeutet auch automatisiert – wiederhergestellt werden?
Report: Warum ist mittlerweile ein Ausfall von IT-Infrastruktur verheerend für Unternehmen?
Gerhard Raffling, Commvault: Das hat mehrere Gründe: Ein Cyberangriff kann zu Stillstand und damit zu einem Geschäftsentgang führen. Jedes Unternehmen weiß, was es kostet, wenn etwa im Supermarkt die Kassen ausfallen oder die Logistikkette nicht mehr funktioniert. Dann kommt es unter Umständen auch zu einem Imageschaden. Schließlich besteht auch eine Meldepflicht, wenn personenbezogene Daten betroffen sind, da sonst Strafen durch die Datenschutzbehörde drohen.
2017 hat Schätzungen zufolge allein die Ransomware Attacke NotPetya weltweit einen Schaden von neun Milliarden Dollar verursacht. Betroffen waren auch große Unternehmen wie der Logistik-Riese Maersk, wo innerhalb von wenigen Minuten 49.000 Laptops und 1.200 Applikationen verschlüsselt worden waren und über einen längeren Zeitraum hinweg die Containerlogistik in den Häfen manuell durchgeführt werden musste. Berichten zufolge hatte Maersk in dieser Phase Produktivitätseinbußen von rund 20 %. Dem Unternehmen entstand ein Schaden von 200 bis 300 Millionen Dollar. Letztlich hatte Maersk Glück im Unglück, indem es noch Zugriff auf eine unverschlüsselte Kopie des Active Directory gab. Heute nutzt Maersk die Learnings aus diesem Angriff als Case Study, wie man auf Cyber Attacken reagieren soll.
Report: Vor welchen Herausforderungen in Sachen Cybersecurity und Business Continuity stehen Unternehmen heute? Und welche Handlungsempfehlungen würden Sie dazu geben? Lassen sich bestimmte Aspekte und Maßnahmen verallgemeinern?
Franz Hoheiser-Pförtner, Cyber Security Austria: Ohne IT geht heutzutage gar nichts mehr – weder der Betrieb kritischer Infrastruktur noch das Homeoffice. Verallgemeinern lässt sich eine Gliederung des Themas Cybersicherheit in drei Bereiche: rechtlich, organisatorisch und technisch. Das Zusammenspielen dieser Aspekte ist ein Kulturthema, mit dem Faktor Mensch im Mittelpunkt. Dabei müssen Sicherheitsmaßnahmen nicht nur tatsächlich umgesetzt werden, sondern auch über alle Bereiche einer Organisation bis hin zum Top-Management verständlich gemacht werden. Themen wie Business Continuity und Disaster Recovery brauchen einen entsprechenden Krisenplan – auch mit Einsatzszenarien und Überlegungen zur Verfügbarkeit des IT-Fachpersonals im Fall der Fälle.
Bild: Franz Hoheiser-Pförtner ist Vorstandsmitglied von Cyber Security Austria
Report: Was können Unternehmen hierbei von den großen Organisationen im Gesundheitswesen lernen?
Hoheiser-Pförtner: Im Gesundheitswesen gibt es das System der „Triage“: Wem können wir in einer Ausnahmesituation noch helfen? Wer braucht die Hilfe am dringendsten? Und wo ist eventuell eine Hilfe gar nicht mehr möglich oder sinnvoll? Diese Triage wird generell im Katastrophenmanagement angewendet– auch im Fall von Cyberangriffen auf Unternehmen.
Eine Gefahr sehe ich darin, dass unsere Gesellschaft zunehmend digital dement wird. Wir wenden immer mehr Anwendungen an, deren Arbeitsschritte aber die wenigsten tatsächlich kennen beziehungsweise können. Gerade bei Business Continuity und Disaster Recovery brauchen wir Personal, das die Kernfunktionen nicht nur bedienen, sondern auch verstehen kann – und im schlimmsten Fall auch manuell operativ umsetzen kann. Das muss entsprechend geübt und trainiert werden.
Report: Welche Schwerpunkte haben Sie dazu bei Cyber Security Austria?
Franz Hoheiser-Pförtner: Der Verein Cyber Security Austria ist seit zehn Jahren tätig. Wir betrachten nicht nur IT-Prozesse, sondern das Thema Sicherheit als Querschnittsthema gesamtheitlich besonders in den Bereichen Industrie, Gesundheitswesen, Banken- und Finanzwesen, Transport, Energieversorgung und Telekommunikationsinfrastruktur. Gerade bei IT-Sicherheit haben wir in Österreich und ganz Europa einen Nachwuchsmangel. Wir adressieren Cyber Sicherheit bereits ab dem Volksschulalter – bis zu Fachhochschulen und Universitäten. Mit Veranstaltungen wie der „Austria Cyber Security Challenge“, dem „Cyber Security Alpen Cup“ mit der Schweiz und der „European Cyber Security Challenge“ hat die CSA eine Vernetzung von Nachwuchstalenten, Unternehmen und Organisationen auf europäischer Ebene mitgestaltet. Gemeinsam mit der Agentur der Europäischen Union für Cybersicherheit ENISA wird die Challenge mittlerweile mit 23 Ländern durchgeführt, bei der zuletzt das Team aus Österreich den hervorragenden dritten Platz erreicht hat. Und es gibt bereits auch Pläne, auch Teams aus Staaten außerhalb Europas einzubinden. Cybersicherheit kennt keine Grenzen und letztlich sitzen wir auch international hier in einem Boot.
Report: Welche Erfahrung haben Sie mit der Umsetzung von Sicherheitsvorgaben bei Casinos Austria und den Österreichischen Lotterien in den vergangenen Wochen gesammelt? Welche Anwendungen haben sich bewährt?
Michael Mrak, Casinos Austria: Vieles, das für Cybersicherheit notwendig ist, muss auf organisatorischer Ebene erledigt werden. Bei der Casinos Austria / Lotterien Gruppe wird im Bedarfsfall ein Krisenstab einberufen, der auch im Vorfeld der Corona-Krise bereits Anfang März zusammengetroffen war, um alle Schritte für den drohenden Lockdown zu besprechen. Man glaubt gar nicht, wie viele auch technische Schritte notwendig sind, etwa um ein Casino vorübergehend zu schließen – angefangen bei der Klimatechnik, Serverräumen und USV-Anlagen. Dann waren natürlich Kurzarbeit und Homeoffice eine große Herausforderung für die Organisation. Wie hält man zum Beispiel die Kommunikation zu Mitarbeitern aufrecht, die gar keinen eigenen PC-Arbeitsplatz haben – Croupiers beispielsweise? WhatsApp ist gemäß unserer Sicherheitsrichtlinien selbstverständlich strikt verboten. Wir haben auf den Messenger-Dienst eines anderen großen Herstellers gesetzt, mit dem Mitarbeiter auch ohne Diensthandy über ihr Privatgerät sicher und geordnet zugreifen konnten. Die App ist eine container-basierte Lösung, welche alle anfallenden Daten innerhalb der Anwendung gespeichert hält, während die App von unserer IT-Abteilung gemanagt werden kann. Wir haben damit innerhalb einer Woche hunderte zusätzliche MitarbeiterInnen ins System gebracht und konnten sie in weiterer Folge während des Lockdowns über diesen Kanal erreichen.
Bild: Michael Mrak ist Head of Department Compliance & Information Security bei Casinos Austria und den Österreichischen Lotterien
Report: Sie sind Beauftragter für Datenschutz und verantwortlicher Manager für Informationssicherheit im Unternehmen. Ist das in Ihrer Arbeit eher ein Thema für die Mitarbeiter oder auch eine Herausforderung auf Managementebene? Wie können hier technische Lösungen unterstützen?
Michael Mrak: Natürlich müssen in Organisationen auch die Managementebene und mitunter auch der Aufsichtsrat als Eigentümervertreter in Sicherheits- und Kommunikationskonzepte eingebunden werden – was nicht immer vollständig gelingt. Technisch wäre schon vieles möglich, um etwa die Weitergabe von vertraulichen Informationen zu verhindern. Selten aber haben die IT-Abteilung oder der Sicherheitsbeauftragte hier das letzte Wort. Aber ich betone gerne: Man kann Office- und Kommunikationssysteme wie etwa Microsoft Office und Microsoft Teams, um eines beispielhaft zu nennen, durchaus so konfigurieren, dass sie sicher und trotzdem benutzerfreundlich in der Bedienung sind. Zwei-Faktor-Authentifizierung sollte heutzutage Standard sein, ebenso wie vielleicht auch eine Daten-Klassifizierung in „öffentlich“, „intern“ und „vertraulich“. Das alles ist im Ökosystem dieses Herstellers bereits integriert an Bord und muss nur aktiviert werden. Zur Informationssicherheit kann dann auch etwa ein automatisch generiertes Wasserzeichen bei Dokumenten gehören, um deren Herkunft bei einer unbefugten Weitergabe nachvollziehen zu können. Das alles lässt sich mit Lösungen kombinieren, die am Bildschirm warnen, wenn etwas passieren könnte, das nicht policy-konform ist.
Auch das Löschen von Daten und Datensparsamkeit ist gemäß dem „Need to know“-Prinzip ein Gebot der Informationssicherheit. Auch hier ist die Technik das geringste Problem. Ein erster wichtiger Schritt ist dazu, eine Inventur seiner Verarbeitungstätigkeiten und Daten auch über einzelne Organisationseinheiten hinweg zu machen und dies natürlich auch zu dokumentieren.
Report: Welche Tipps können Sie dazu UnternehmerInnen aus Sicht eines Strategieberaters und Dienstleisters geben?
Markus Seme, BearingPoint: Der größte Angriffsvektor – und das war vor Corona auch nicht anders – ist der Mensch. Es ist also sinnvoll, mit Maßnahmen genau dort anzusetzen. Wir beschäftigen uns selbst seit vielen Jahren mit IT-Sicherheit bei unseren Unternehmenskunden und haben entsprechendes Know-how aufgebaut. Trotzdem haben auch wir mit dem Ausrollen des Homeoffice im März Handlungsanleitungen für unsere Mitarbeiter ausgegeben, inklusive Kontakte besonders auch für Sicherheitsfragen. Wenn plötzlich die Leute von zu Hause arbeiten, ist nicht nur die Kommunikation anders, sondern auch das Informationsbedürfnis und die gefühlte Unsicherheit. Viele werden dadurch anfälliger für gefakte Webseiten und Anwendungen und sollten deshalb nicht allein gelassen werden. Wenn aber die Mitarbeiter lieber rückfragen sollen, bevor sie auf etwas Unbekanntes klicken, muss man auch jemanden bereithalten, der bei Fragen erreichbar ist. Wichtig ist hier, die Hemmschwelle runterzusetzen. Wir tun uns hier leicht, weil wir von Graz aus den konzernweiten Servicedesk bei BearingPoint betreiben. Wir haben ein in Security-Fragen sehr gut geschultes Team.
Prinzipiell rate ich jedem, ein Schutzkonzept für seine Unternehmensdaten zu stellen: Was liegt an welchen Orten gespeichert? Welche Daten müssen besonders geschützt werden?
Bild: Markus Seme ist Geschäftsführer bei BearingPoint
Report: Welche Möglichkeiten hat man, wenn Mitarbeiter zu Hause mit dem eigenen Notebook arbeiten? Wenn es vielleicht auch in einem Engpass unmittelbar keine Firmengeräte gibt? Hat man als Unternehmen da die Sicherheit noch in der eigenen Hand?
Markus Seme: Natürlich gibt es auch diese Situation, die oft auch vom Grad der Digitalisierung in einer Branche und auch der Firmengröße abhängig ist. Aber Sicherheit hat man nie in der eigenen Hand. Man kann seine Organisation und seine Mitarbeiter dennoch in vielen kleinen, kontinuierlichen Schritten zu einer bestmöglichen Sicherheit hinführen. Wenn schon ein privates Gerät verwendet wird – was eigentlich vermieden werden sollte –, dann sollte zumindest ein Antivirenschutz darauf installiert sein. Sogar eine kostenlose Lösung ist besser als nichts. Die Nutzer sollten darauf geschult sein, achtsam mit eingehenden Mails umzugehen und nicht auf jeden Link zu klicken. Viele Firmen, die bereits in der Cloud sind und dort entsprechende Schutzmechanismen nutzen können, tun sich da leichter. Letztlich kommt man um den Endclient-Schutz nicht herum. Besser ist es natürlich, Firmengeräte zu haben, die zentral gemanagt und gewartet werden können.
Sicherheitslösungen auf Unternehmensebene gehen dann bis in den Highend-Bereich. Mit diesen werden auch bislang unbekannte Gefahren heuristisch erkannt, indem Anomalien im Netzwerk identifiziert werden. Sandboxing liefert einen Bereich in der IT, wo das Verhalten von Malware sicher analysiert werden kann. Und mit Penetration-Testing prüfe ich gezielt, ob meine Sicherheitsmaßnahmen ausreichen. Letztendlich ist das Backup ein wichtiger Teil von Cyber Resilience – um den Betrieb unterbrechungsfrei oder nach lediglich kurzen Ausfallszeiten fortführen zu können.