Sonntag, Dezember 22, 2024

Die Sicherheit der Operational Technology (OT) stand im Mittelpunkt des diesjährigen CIS Compliance Summits. Experten präsentierten Maßnahmen zum Schutz der Betriebstechnologie. 

Titelbild: Helmut Leopold, AIT, sprach sich für internationalen Informationsaustausch aus.

Rund 250 Teilnehmer*innen aus Österreich und dem benachbarten Ausland waren am 20. September 2022 der Einladung der Zertifizierungsorganisation CIS – Certification & Information Security Services GmbH ins Austria Trend Hotel Savoyen in Wien gefolgt. Inhaltlich fokussierte der Branchenevent, bei dem praxisorientierte Vorgehensweisen in den Bereichen Security, Privacy und Business Continuity diskutiert werden, heuer auf die Sicherheit der Operational Technologies (OT).  

Industriebetriebe, Stromkonzerne, Spitäler und andere Einrichtungen rücken zunehmend in den Fokus von Cyberkriminellen. Jedes Gerät stellt ein potenzielles Sicherheitsrisiko dar, das auch strategisch geschützt werden muss. »Früher war OT-Security kaum ein Thema, weil es keine Betriebstechnologie gab, die mit dem Internet verbunden war. Heute hängen alle Computer und nahezu jede Maschine an Unternehmensnetzwerken und diese wiederum im Internet«, unterstrich CIS-Geschäftsführer Klaus Veselko in seiner Eröffnungsrede die Relevanz. »Die Angreifer suchen bei ihren Zielobjekten immer nach den schwächsten Stellen. Daher braucht es zur Abwehr unbedingt Gesamtkonzepte, welche IT- und OT-Security integrieren, und nicht nur punktuelle Maßnahmen.«

Sichere Digitalsysteme

Helmut Leopold, Leiter des Center for Digital Safety & Security (DSS) beim AIT Austrian Institute of Technology, verwies in seiner Keynote auf die spezifischen Merkmale von Betriebstechnologien: »Ein Flugzeug kann beispielsweise nicht einfach freitagabends upgedatet werden, wie das in der Büro-IT gängige Praxis ist. Remote-Wartungen über das Internet sind im OT-Bereich weitverbreitet, wobei das in der Regel zwar kostengünstiger ist, aber auch anfällig für Cyberattacken macht.« Um Digitalsysteme generell sicherer zu gestalten, plädiert Leopold dafür, diese von vornherein so zu bauen, dass sie widerstandsfähig gegenüber Cyberangriffen sind. Auch der Einsatz künstlicher Intelligenz habe sich bei der Abwehr als sehr effektiv erwiesen. Für gezielte Schutzmechanismen sollte zudem ein stärkerer internationaler Daten- und Informationsaustausch stattfinden.

Genereller Tenor der Fachleute: Punktuelle Maßnahmen im Bereich OT-Security sind völlig unzureichend. Als wichtige Guidelines auf dem Weg zu einem umfassenden Sicherheitskonzept haben sich Normen bewährt. Herzstück im Bereich der industriellen Automatisierungstechnik ist die Normenreihe IEC 62443, wie Thomas Bleier, Geschäftsführer der B-SEC better secure KG und Auditor der CIS, ausführte: »Relevant ist das beispielsweise bei Ausschreibungen, Verhandlungen oder auch Gutachten. Die IEC 62443 wird vermutlich als Grundlage für Zertifizierungsschemata dienen.«

Rund 250 Teilnehmer*innen besuchten den Branchenevent im Hotel Savoyen in Wien. Die Veranstaltung fand heuer erstmals ganztägig statt.

2024 tritt die NIS-2-Richtlinie der EU in Kraft und bringt eine Verschärfung der Sicherheitsvorschriften für Unternehmen, insbesondere betreffend Lieferketten und kritischer Infrastruktur. »Die Sorgfaltspflicht gilt jedoch schon jetzt«, betonte Thomas Stubbings, Geschäftsführer der Cyber Trust Services GmbH, und sprach sich dafür aus, die Bewertung des Sicherheitsrisikos auf alle Unternehmensbereiche, etwa auch den Einkauf, auszudehnen. Einer WKO-Studie zufolge vertrauen nämlich nur 19 Prozent der Unternehmen der Sicherheit ihrer Lieferanten, trotzdem wählen nur 41 Prozent ihre Geschäftspartner auch sorgfältig aus.

Zukunftsinvestition

Auch Zertifizierungen nach der internationalen Norm für Informationssicherheit ISO 27001 sind für viele Unternehmen mittlerweile fester Bestandteil ihrer Strategie geworden. Erich Dröscher, Expert Security Manager bei der Raiffeisen Bank International (RBI), zeigte sich am Rande des CIS Compliance Summits vom Nutzen überzeugt: »Der Vorteil der ISO 27001-Zertifizierung liegt für die RBI darin, durch einen unabhängigen Nachweis über ein professionell geführtes Informationssicherheitsmanagementsystem das Kundenvertrauen in unsere Dienstleistungen weiter zu stärken. Die externe Sicht auf unser Unternehmen stellt einen Eckpfeiler unserer Gesamtstrategie dar, um den kontinuierlichen Verbesserungsprozess weiter zu forcieren.«

Einen kritischen Blick werfen auch die Expert*innen der Quality Austria auf Organisationen und ihre Strukturen. Vor allem KMU scheuen jedoch die mit strategischen Maßnahmen verbundenen Kosten, wie Eckehard Bauer, Prokurist Development für Sicherheitsmanagement, Business Continuity, Risiko, Security, Compliance und Transport bei Quality Austria, weiß: »Jedes Managementsystem ist eine Investition in die Wettbewerbsfähigkeit einer Organisation.« Bei Krisenfällen – und eine Cyberattacke ist in der Regel ein solcher – können ein strukturierter Ablauf und faktengestützte Entscheidungen die Auswirkungen wesentlich mildern. Das Ziel sei die Aufrechterhaltung der Betriebsfähigkeit, erklärte Bauer: »Erfahrungen zeigen, dass gut gemanagte Unternehmen früher und sogar gestärkt aus einer Krise kommen.

Wettlauf gegen die Zeit

Tom Walek unternahm einen »Wettlauf mit der Zeit«. 

Am Ende des Branchenevents deckte der Ö3-Moderator Tom Walek in seiner etwas anderen Keynote »Im Wettlauf mit der Zeit« überraschende Parallelen zwischen seiner Expedition zum Südpol und der Business-Welt auf: Betriebe, die bereits Opfer einer Cyberattacke waren, kennen den Wettlauf gegen die Zeit nur zu gut und wissen um die Wichtigkeit schneller, gut durchdachter und praxisnaher Schutzmaßnahmen Bescheid. Zudem braucht es ein gut eingespieltes Team, das genau weiß, was zu tun ist. Auch CIS-Geschäftsführer Klaus Veselko thematisierte abschließend die Fehlerquelle Mensch und plädierte für eine stärkere Bewusstseinsbildung: »Häufig sind unzureichend geschulte Mitarbeitende verantwortlich dafür, wenn ein Eintrittstor für Cyberangriffe geschaffen wurde. Das können ein Klick auf einen Link einer E-Mail, ein unerlaubt angesteckter USB-Stick oder lange und komplizierte Passwörter sein. Umfassendes Informationssicherheitsdenken muss in der Unternehmenskultur verankert werden.« 


Österreichs bester Chief Information Security Officer

Peter Gerdenitsch, Raiffeisen Bank International AG, wurde beim CIS Compliance Summit 2022 als »CISO of the Year« ausgezeichnet. Die Zertifizierungsorganisation CIS verlieh den Titel heuer zum ersten Mal. »Mit der neu ins Leben gerufenen Auszeichnung möchten wir herausragende Leistungen im Bereich Informationssicherheit würdigen und jene Personen, die sonst häufig anonym im Hintergrund für die Sicherheit vieler Betriebe arbeiten, ins Rampenlicht rücken«, erklärte CIS-Geschäftsführer Klaus Veselko bei der Preisverleihung in Wien.

CISO of the Year 2022: Peter Gerdenitsch, Raiffeisen Bank International AG.

Peter Gerdenitsch überzeugte durch die Definition und Einhaltung einer gruppenweiten Security Governance sowie der Implementierung eines Zero-Trust-Konzepts für End-User. Die Begründung der Jury: »Herr Gerdenitsch hat es geschafft, die Informationssicherheit als ganzheitlichen Business Enabler in der Unternehmensgruppe der Raiffeisen Bank International zu positionieren. Darüber hinaus leistete er durch den intensiven Austausch mit Fachexperten einen wichtigen Beitrag für die Security Community Österreichs.«

Info und Anmeldung für den »CISO of the Year 2023«: www.cis-cert.com/ciso

(Bilder: Anna Rauchenberger)

Meistgelesene BLOGS

Firmen | News
24. September 2024
Konkrete Lösungen und relevante Technologien für eine klimaneutrale Industrie stehen im Mittelpunkt der dritten internationalen Konferenz am 24./25. Oktober in Wien Am 24. und 25. Oktober 2024 veranst...
Firmen | News
20. September 2024
Gemeinsam die Welle der Vorschriften meistern: Navigieren im Cybersecurity-Meer Donnerstag, 10. Oktober 2024, 09:00 Uhr bis 17:15 Uhr Austria Trend Hotel Savoyen WienRennweg 16, 1030 Wien Neue Regulie...
Marlene Buchinger
11. September 2024
Prozessverständnis und Bestandsaufnahme der Nachhaltigkeit Nachhaltigkeit ist wie das Thema Qualität – jede*r trägt dazu bei und die Betrachtung endet nicht am Werkstor oder der Bürotür. Daher sind Pr...
Redaktion
27. August 2024
Die Zertifizierung- und Trainingsinstanz CIS – Certification & Information Security Services GmbH im Bereich Informationssicherheit, Datenschutz, Cloud Computing und mehr, beleuchtet erstmalig die...
Redaktion
04. September 2024
Ökologische Baumaterialien: Der Weg zu umweltfreundlichen Gebäuden Die Bauindustrie befindet sich in einem tiefgreifenden Wandel, bei dem ökologische Baumaterialien eine zentrale Rolle spielen. Tradit...
Alfons A. Flatscher
06. November 2024
Mit Donald Trumps Rückkehr ins Weiße Haus zeichnet sich ein neues Kapitel der Handelspolitik der USA ab – und für europäische Unternehmen könnten die nächsten Jahre herausfordernd werden. Trump, bekan...
LANCOM Systems
14. Oktober 2024
Die österreichische Bundesbeschaffung GmbH (BBG) hat die Lösungen des deutschen Netzwerkinfrastruktur- und Security-Herstellers LANCOM Systems in ihr Portfolio aufgenommen. Konkret bezieht sich die Ra...
Firmen | News
30. September 2024
Die Wahl der richtigen Matratze kann einen großen Unterschied in Ihrem Leben machen. Es gibt viele Faktoren zu berücksichtigen, bevor Sie eine Entscheidung treffen. Erfahren Sie, wann der beste Zeitpu...

Log in or Sign up