Wenn Apps nicht funktionieren, das Smartphone streikt oder das Onlinebanking ausfällt, kostete dies bisher »nur« Geld und Reputation. In einer vernetzten Gesellschaft, in der Maschinen miteinander kommunizieren und alles auf Software basiert, können Fehler und Ausfälle verheerende Folgen haben.
Was können Wirtschaft und Gesellschaft tun, um den unterbrechungsfreien Betrieb der IT zu sichern? Eine hochkarätige Expertenrunde diskutierte mit Martin Szelgrad, Report Verlag, am 13. September im Festsaal von T-Systems in Wien. Partner des Publikumsgesprächs waren T-Systems, Interxion und Dimension Data. Es sprachen Thomas Masicek, Country Security Officer Austria und Head of Security Management T-Systems; Martin Madlo, Managing Director Interxion; Jürgen Horak, CEO Dimension Data; Joe Pichlmayr, Geschäftsführer IKARUS Security Software, und Adrian Dabrowski, Sicherheitsforscher bei SBA Research.
(+) plus: Welchen Stellenwert hat die IT-Sicherheit in der Welt der Digitalisierung und vernetzten Wirtschaft? Welche Rolle nimmt T-Systems hier ein?
Thomas Masicek, T-Systems: Früher war die IT in einer unterstützenden Rolle für die Wertschöpfung. Mittlerweile gehört sie selbst zu den Kernprozessen der Unternehmen. Was passiert, wenn die IT ausfällt, hat man vor kurzem am Flughafen Schwechat gesehen: Ein kleiner Teil der Flugüberwachung – es ging lediglich um eine Schnittstelle im Datenaustausch – hatte nicht mehr funktioniert. Trotzdem war fast der gesamte Flughafen zum Stillstand gekommen. Trojaner wie Cryptolocker haben schon ganze Krankenhäuser lahmgelegt. Das zeigt, dass ohne IT heute nichts mehr funktioniert und es zeigt auch, wie wichtig IT-Sicherheit geworden ist. Daten sind heute das Öl und das Gold unserer Wirtschaft. Daten sind Macht und Kapital eines Unternehmens.
Denken Sie nur an die Rezeptur für ein neues Medikament oder ein neues Werkstück. Wenn das verloren geht, ist dies ein Riesenschaden. Der IKT-Provider T-Systems betreibt tausende virtualisierte Systeme in großen Rechenzentren. Dort werden sensible, personenbezogene und auch gesundheitsrelevante Daten gespeichert. Wenn da etwas passieren würde, hätte das gravierende Auswirkungen auf unsere Kunden. Wir verhindern mit einem Bündel an Maßnahmen, dass Unternehmens-IT kompromittierbar ist. Als Dienstleister sind wir ein stabiler Bestandteil der Geschäftsprozesse unserer Kunden.
(+) plus: Was können Wirtschaft und Gesellschaft tun, um den unterbrechungsfreien Betrieb der IT zu sichern? Braucht es da auch eine neue Produkt- und Servicephilosophie?
Masicek: Wir brauchen auf längere Sicht gesehen Möglichkeiten, Angriffe verlässlicher zu erkennen. Derzeit können Standardsicherheitsprodukte bis zu einem gewissen Grad ausgetrickst werden. Angriffe können dann nur mit einer Zeitverzögerung erkannt werden. Das macht es für einen Angreifer leicht. Die Qualität von IT-Services hängt aber auch stark vom Verhalten der Mitarbeiter ab. Mit dem Verfahren »Zero Outage« betrachten wir gemeinsam mit unseren Kunden, mit Partnern und IT-Herstellern alle laufenden IT-Prozesse in einem System und stimmen Pflichten und Maßnahmen direkt untereinander ab. Jeder hat eine bestimmte Rolle und Aufgaben, die bei etwaigen Vorfällen ohne Verzögerungen erfüllt werden. Das Resultat ist eine stabile IT-Plattform für die Kunden. Das ist wichtig, denn auch die Bereitstellung von IT-Ressourcen ist nicht mehr trivial: So sind die Anforderungen eines Webshops an die Technik im Weihnachtsgeschäft anders als zu einem Zeitpunkt drei Monate später. Auch ein Produktionsunternehmen braucht mehr Ressourcen in der Fertigung, wenn gerade eine Marketingkampagne läuft. Dies kann mit einer skalierbaren IT besser bewältigt werden – mit klaren Prozessen und Regeln.
"Vollständige Massnahmenkataloge inkludieren auch den Faktor Kommunikation: Wie bei einem Störfall nach außen kommuniziert wird."
(+) plus: Herr Madlo, Interxion stellt sozusagen den Backbone für den Internet- und Datenverkehr auch in Österreich. Wer sind Ihre Kunden?
Martin Madlo, Interxion: Unsere Kunden kommen aus sehr unterschiedlichen Bereichen – sie alle brauchen Sicherheit und Verfügbarkeit ihrer IT-Infrastruktur. Das schließt auch die physikalische Sicherheit von IT-Services ein. Natürlich stehen Cyberattacken medial oft im Vordergrund. Relevante größere Ausfälle sind in der Regel aber auf andere Dinge zurückzuführen. Wenn einmal IT-Services nicht zu Verfügung stehen, ist meist menschliches Versagen der Grund. Über die Hälfte von Systemausfällen ist darauf zurückzuführen. An zweiter und dritter Stelle werden Studien zufolge fehlerhafte Systemwechsel und Stromausfälle angeführt. Erst dann kommen in dieser Rangfolge Cyberattacken. Um Unternehmen gerade bei diesen ersten drei Bedrohungsszenarien Unterstützung zu leisten, bietet Interxion seine Dienstleistungen europaweit an. Wir sind carrier- und cloudneutral und unterstützen in Österreich am Standort Wien in unserer Rolle als Datendrehscheibe seit 16 Jahren Unternehmen bei der Implementierung von hochverfügbaren IT-Systemen.
(+) plus: Was können Unternehmen für die Sicherheit ihrer Daten nun tun? Ist die Auslagerung des Rechenzentrums der einzige richtige Schritt?
Madlo: Nein, sicherlich nicht. Für Unternehmen ist eine umfassende Risikoanalyse die Basis für jede Sicherheitsmaßnahme. IT-Sicherheit ist eine Aufgabe des Managements. Hier nicht nur eine Awareness im Management und bei allen Mitarbeitern zu schaffen, sondern auch finanzielle Ressourcen bereitzustellen, ist für die IT-Sicherheit eines Unternehmens essenziell. Hundertprozentige Sicherheit gibt es aber nirgendwo. Dennoch kann man einen genauen Plan erstellen, welche Maßnahmen bei Störfällen ergriffen werden müssen. Eine dieser Maßnahmen kann dann die Auslagerung des Rechenzentrums zu einem Colocation-Provider bedeuten – sie ist aber nur eine von vielen.
Dabei sollten sich Unternehmen nicht nur mit Bedrohungen für die IT-Sicherheit auseinandersetzen, sondern sie sollten aufgrund der Vielfalt möglicher Risiken generell einen breiten Maßnahmenkatalog erstellen. Darin werden die Wahrscheinlichkeiten von eintretenden Ereignissen evaluiert, welche Geschäftsprozesse betroffen sein können und welche Maßnahmen man setzen kann. Dies betrifft auch Fälle, die nicht technisch oder organisatorisch gelöst werden können. Auch dazu gibt es Standards, wie beispielsweise ein Business-Continuity-Management-System, das Unternehmen hilft, Notfall- und Krisenszenarien zu bewältigen. Das inkludiert etwa auch den Faktor Kommunikation: wie bei einem Störfall nach außen kommuniziert wird.
"Ein Cyberangriff eines Einzeltäters ist meist noch überschaubar. Duldet ein Staat massive Attacken – wie damals gegen Estland –, ist man fast chancenlos."
(+) plus: Dimension Data hat zuletzt mit dem »Global Threat Report 2016« auch den Wandel der Bedrohungen für die Netze untersucht. Kann man sich als Unternehmen heute überhaupt noch schützen?
Jürgen Horak, Dimension Data: In dem jährlich herausgegebenen Report wurden dreieinhalb Billionen Log-Einträge und Milliarden unterschiedliche Attacken im Datenverkehr weltweit analysiert. Eine der zentralen Erkenntnisse: War bislang der Finanzsektor Angriffsziel Nummer eins bei Cybercrime, hat der Retail-Bereich diese Führungsrolle übernommen. Auch dort werden persönliche Daten wie etwa Kreditkarteninformationen gehandelt, die Systeme sind mitunter aber einfacher kompromittierbar. Ich bin aber überzeugt, dass auch mit geringen Mitteln und dem Einhalten von Standards bereits Sicherheit für Unternehmen möglich ist – auch für Kleinbetriebe und den Mittelstand. Denn für Kriminelle im Netz gilt der gleiche Kosten-Nutzen-Faktor wie in der physischen Wirtschaft: Man versucht mit dem geringsten Aufwand das Bestmögliche herauszuholen.
(+) plus: Wo sehen Sie einen leistbaren Mittelweg für Unternehmen?
Horak: Oft sind die einfachsten Maßnahmen, wie das Einspielen von Updates, am wirkungsvollsten: Ein Viertel aller Sicherheitslücken ist älter als drei Jahre. Damit lässt sich das Angriffsrisiko für Infrastrukturen massiv reduzieren. Auch lohnen sich auf jeden Fall die richtige Schulung der Mitarbeiter und klare Regelungen – etwa ein Vier-Augen-Prinzip bei Überweisungen. Projekte bei unseren Kunden beginnen hier meist mit einer professionellen Beratung zu Sicherheitsmaßnahmen und technischen Konzepten. Wir sind in der Lage, diese Lösungen zu implementieren und auch die Wartung zu übernehmen – bis hin zu vollständig von uns betriebenen Services für die Kunden. Dimension Data kann dies von Vorarlberg mit eigenen Mitarbeitern vor Ort bis nach Australien lokal anbieten und dabei auf weltweit verfügbare und vernetzte Ressourcen zurückgreifen.
(+) plus: Unsere Wirtschaft und Gesellschaft sind mehr und mehr von IT abhängig – wir machen uns damit angreifbar und verwundbar. Wie schlimm ist die Situation nun tatsächlich?
Joe Pichlmayr, Ikarus Security Software: Diese Frage lässt sich nicht so einfach beantworten, da wir uns bei dem Thema IT in mehreren hochgradig volatilen, sich stets verändernden Systemen bewegen, in denen immer mehr Abhängigkeiten entstehen. Hier Folgeabschätzungen zu Technologieentwicklungen korrekt vorzunehmen wird immer schwieriger und aufwändiger. Ich glaube, dass Unternehmen heute immer weniger in der Lage sind, die täglich neu entstehenden Risiken einigermaßen leistbar abzudecken. Wir versuchen, aus Vorgefallenem zu lernen und verbessern ständig unsere Abwehrmaßnahmen. Aber auch die IT-Sicherheit muss sich ökonomischen Überlegungen unterwerfen. Ich kenne keinen CFO, der grenzenlos Mittel bewilligt, um sich gegen alle Bedrohungen von morgen rüsten zu können. Gerade die Infrastrukturen in der Industrie werden in Zukunft ein Riesenfeld für IT-Sicherheit bieten. Die deutsche Industrie, als Beispiel, hat frühzeitig erkannt, dass durch das Öffnen der bislang abgeschotteten Prozesse für den Datenverkehr dringend entsprechende Schutzsysteme nötig sind. Wir bieten die Bausteine dafür.
Ikarus entwickelt Softwarelösungen für den Virenschutz für unterschiedlichste Anwendungsbereiche – vom Consumer-Segment, Smartphones und Tablets bis zu Firmennetzen und Providern. Heute schützen auch Roboterhersteller ihre Systeme mit Lösungen aus unserem Haus. Betreiber von Industrieanlagen setzten auf unser Know-how, unser Markterfolg reicht bis nach Japan.
Bild: Moderator Martin Szelgrad (Report Verlag), Adrian Dabrowski (SBA), Jürgen Horak (Dimension Data), Martin Madlo (Interxion Österreich), Thomas Masicek (T-Systems), Joe Pichlmayr (Ikarus Security).
(+) plus: Wie sollten Staaten das Thema IT-Sicherheit angehen?
Pichlmayr: Die Verwaltung in den meisten Staaten, so auch jene in Österreich, sind naturgemäß nicht optimal für die Bewältigung der raschen Veränderungen in der Digitalisierung unserer Gesellschaft aufgestellt – trotz engagierter Einzelakteure. In großen Unternehmen kann ein Chief Information Security Officer bereichsübergreifend alle Teile eines Unternehmens auf Security-Fragen durchleuchten und Vorgaben setzen. Dieser Ansatz zentraler Positionen, die mehr durchsetzen dürfen, als lediglich Empfehlungen auszusprechen, würde auch in der Verwaltung beim Thema Sicherheit einiges erleichtern. Wenn ich als Staat annehme, dass ich komplexe Herausforderungen wie die Digitalisierung mit einer einmalig entwickelten »Super-Strategie« bewältigen kann, dann läuft es bestimmt falsch.
Mir gefällt der offene Ansatz der Stadt Wien, in dem man versucht, die Bevölkerung und alle Interessierten in die Veränderungen einzubinden und gemeinsam Strategien zu finden. Das betrifft auch Bildungsthemen. Ich erwarte, dass sich die Staaten und Länder künftig stärker ihrer wissenden Bürgerinnen und Bürger bedienen – es wird nicht anders funktionieren. Aber es hat auch Vorteile, dass ein Staat nicht sofort jedem Trend nachhechelt und bewahrende und stabile Strukturen hat.
(+) plus: Aus welchem Blickwinkel sehen Sie das Thema IT-Sicherheit? Was tut SBA Research, Herr Dabrowksi?
Adrian Dabrowski, SBA Research: Wir sind ein interuniversitäres Forschungszentrum im Teileigentum der TU Wien und versuchen Brücken von der wissenschaftlichen und angewandten Forschung zum konkreten Bedarf in der Industrie zu bauen.
Alle Infrastrukturen wie etwa Stromnetze hängen von funktionierenden Datennetzen ab. Bei Softwareproblemen in der Spannungsregelung ist beispielsweise im Osten der USA vor einigen Jahren die Stromversorgung großflächig zusammengebrochen. Künftige Bedrohungsszenarien betreffen aber nicht direkte Angriffe auf Infrastrukturkomponenten wie Switches und Schaltzentralen, sondern indirekte Angriffe. So könnten Betreiber von Bot-Netzen mit dem gleichzeitigen Auslasten von Grafikkarten und CPUs in gekaperten Rechnern die Lasten im Stromnetz einer Region im Millisekunden-Bereich manipulieren. Mit den Netzarchitekturen heute können die Betreiber keinesfalls in dieser Geschwindigkeit auf diese Spitzen reagieren. Die Netze sind damit verwundbar.
(+) plus: Wie sieht die Zukunft von Sicherheit in der Technik aus, gerade im Produktbereich?
Adrian Dabrowski: Was wir heutzutage an Update-Frequenz für eine sichere Technik benötigen, erschlägt alles, was die Industrie an Erneuerungszyklen physikalischer Produkte kennt. Hier braucht es dringend neue Lösungen. Man wird mit seinem Fahrzeug auch künftig nicht alle zwei Monate in die Werkstatt fahren können, damit die Software auf den neuesten Stand gebracht wird. Auf jeden Fall wird man in Zukunft bei allen Produkten wissen müssen, wie die Update-Prozesse aussehen. Auch automatisierte Prozesse sollten entsprechend deklariert werden. Es braucht eine Transparenz in den Systemen und auch vorausblickende Maßnahmen für einen Zeitpunkt, an dem es einen Hersteller vielleicht gar nicht mehr am Markt gibt.