Sonntag, November 24, 2024
Runder Tisch: Sichere Daten, sicheres Geschäft
Bilder: iStock, Richard Pohl

Angesichts der Bedrohung durch Cyberangriffe, der Komplexität von IT-Systemen und der Abhängigkeit von Daten für Entscheidungsprozesse ist »Data Security« eine Riesenaufgabe für Unternehmen, aber auch den Staat. Der Report hat in einer Expert*innen-Runde vor dem Sommer in Wien über unterschiedliche Aspekte und Lösungsansätze dazu diskutiert.

Die Diskutant*innen:
- Edith Huber, Cyberkriminologin und Leiterin der Stabsstelle für Forschungsservice, Universität für Weiterbildung Krems
- Mario Zimmermann, Regional Director Austria, Veeam
- Klemens Himpele, CIO Stadt Wien
- Helmut Leopold, Head of Center for Digital Safety & Security, AIT Austrian Institute of Technology
- Peter Reichstädter, Peter Reichstädter, CIO & Leiter der Abteilung IKT-Strategie des Österreichischen Parlaments
- Moderation Martin Szelgrad, Report Verlag

Hintergrund:
Data Security bezeichnet den Schutz von Daten vor unbefugtem Zugriff, Verlust, Manipulation oder Zerstörung. Data Security umfasst sowohl technische als auch organisatorische Maßnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten. Um die Data Security zu verbessern, gibt es Strategien und Maßnahmen, wie zum Beispiel die Verschlüsselung von Daten, die Authentifizierung von Nutzer*innen, die Implementierung von Firewalls, die Anwendung von Datenschutzrichtlinien, die Schulung von Mitarbeiter*innen oder die Durchführung von Sicherheitsaudits.


Edith Huber, Kriminologin und Leiterin der Stabsstelle für Forschungsservice der Universität für Weiterbildung Krems

Was macht Data Security aus? Was ist dabei zu beachten?

Edith Huber: Data Security hat im Wesentlichen die Qualität der Daten im Fokus, inklusive des Wissens und der Überwachung über meine Quellen. Wie kann ich überprüfen, ob es Anomalien in Daten gibt, und wie kann ich diese gerade auch bei neuen Technologien wie etwa künstlicher Intelligenz identifizieren? Dann geht es um eine Robustheit von Modellen und KI-Anwendungen. Viele Unternehmen haben sich damit noch nicht beschäftigt, obwohl unverfälschte, intakte Daten heute das Fundament der Bestandsfähigkeit eines Betriebs bilden. Eng damit verknüpft sind Sicherheitsrichtlinien in den Unternehmen, abhängig von der Firmengröße. Wer hat die Kontrolle über die Daten? Eine weiteres Thema hier ist dann die Awareness bei den Mitarbeiter*innen, Bedrohungen zu erkennen.

Ist die Manipulation von Daten bereits auch Gegenstand von Cyberattacken in der Praxis?

Huber: Auf jeden Fall findet mit neuen Technologien auch Aktivismus und Sabotage statt. Täter werden stets versuchen, sich Zugang zu Daten zu verschaffen. Damit muss nicht zwangsläufig ein finanzieller Gewinn einhergehen, auch wenn dieser natürlich eine Riesenrolle spielt. Aber auch ein einfaches Ausprobieren ist Gefahr genug.

Edith Huber: KMU sollten sich verstärkt mit dem Thema Datenqualität und der Herkunft von Datenquellen beschäftigen, um rechtzeitig Anomalien zu erkennen. Ein Gerüst dafür bilden Richtlinien, Sicherheitsprotokolle und auch Schulungen der Mitarbeiter*innen.

Bis zu welchem Grad können sich Unternehmen auf die Schulung von Mitarbeiter*innen außerhalb der IT-Abteilung bei Sicherheitsfragen verlassen? Wo liegen die Grenzen hier?

Huber: Ohne Schulungen wird es nicht gehen. Natürlich müssen Mitarbeiter ein Basiswissen zu Gefahren und dem richtigen Verhalten vermittelt bekommen – schon beim Onboarding. Ich würde mich aber nicht komplett darauf verlassen. Wir haben vor einiger Zeit in einer österreichweiten Studie den Wirkungsgrad von Schulungen erhoben. Das Ergebnis: Schulungsmaßnahmen wirken nur bis zu einem gewissen Level. Wenn der Security-Leiter aus den Mitarbeitern lauter kleine Security-Experten machen möchte, wird das nicht funktionieren. In der Psychologie und Soziologie ist erwiesen, dass der Mensch nicht endlos aufnahmefähig ist. Anders gesagt: Die Produktivität am Arbeitsplatz sinkt mit der Vielzahl an Regeln, die man sich merken muss. Schulungen bleiben wichtig, sie sollten aber nicht als Allheilmittel gesehen werden.

Aber wir werden ein Design besserer technischer Systeme brauchen, die den Menschen in Sicherheitsfragen entlastet. Denn gerade mit den Entwicklungen von KI-Systemen werden die Mitarbeiter*innen Betrugsversuche einfach nicht mehr erkennen. Ich weiß aus in Zukunft, dass ich einen USB-Stick nicht vorbehaltlos anstecken darf . Aber werde ich jedes in perfektem Deutsch geschriebene Phishing-Mail erkennen? Wir brauchen die Unterstützung durch Technik, sie muss besser werden.

Wie schaut hier generell das Wissen in unserer Gesellschaft aus?

Huber: In einer zusammen mit dem Innenministerium durchgeführten Studie haben wir eine relativ gute Sensibilisierung bei Phishing festgestellt, ebenso beim Thema Computerviren. Das war‘s dann auch schon. Cyberkriminalität hat wesentlich größere Facetten – der Enkeltrick bei älteren Personen, die zielgruppengerecht geschult werden sollten, oder Finanzbetrug auf professionell betriebenen Tradingplattformen, die auf die Gutgläubigkeit und Gier der Menschen zielen. Jedes Jahr kommen neue Betrugsmaschen dazu. Man kommt da kaum noch mit, rechtzeitig davor zu warnen.

Die Universität für Weiterbildung Krems hat Lehrgänge für Sicherheitslehrgänge im Zentrum für praxisorientierte Informatik. Im Department für E-Government bieten wir die Weiterbildung zum Information Security Manager an. In Forschungsfragen arbeiten wir mit dem Department für integrierte Sensorsysteme am Thema Sicherheit in der vernetzten Welt von IT und der OT in Maschinen und Sensoren.


 

Mario Zimmermann, Regional Director Veeam Austria

Data Security aus Sicht von Datenmanagement-Lösungen – wo stehen wir damit heute? Wie sollten sich Unternehmen dazu aufstellen?

Mario Zimmermann: Anfangs wurden technische Systeme zur Speicherung von Daten auf anderen Datenträgern eingesetzt, um sich gegen Schäden wie einen Brand oder ein Hochwasser abzusichern. Heute sind Unternehmen vielfältigen Angriffsszenarien ausgesetzt, die die Integrität von Geschäftsprozessen gefährden. Das erfordert eine Datenstrategie, die auch Daten beinhaltet, die gezielt verschlüsselt und unveränderbar abgelegt werden. Der Backup-Bereich ist im Prinzip eine komprimierte Sammlung des gesamten Unternehmens. Würde das Backup heruntergeladen und gestohlen oder auch manipuliert werden, hätte der Angreifer das Unternehmen in der Hand. IT-Security ist immer mehr in unseren Fokus gerückt und es ist meist zwar Ransomware im Fokus der Aufmerksamkeit, doch eine Lösegeldforderung ist im Prinzip der letzte Akt in der Kette. Unternehmen sind oft bereits Monate davor infiltriert worden. Deshalb sind Auslagerungen in geschützte, auch physisch abgetrennte Bereiche wichtig – ebenso wie die Erkennung von Manipulation. Und ich muss mir ebenso über die Verteilung von Daten in der Cloud und in Systemen auf hybriden IT-Infrastrukturen Gedanken machen. Dort braucht es ebenso entsprechende Sicherheitslevels.

Was sind die zentralen Aussagen eines aktuellen Trend-Reports, den Sie jährlich herausgeben?

Zimmermann: In unserem „Ransomware Trends Report“ wurden weltweit 1.200 Unternehmen befragt. Es wird bestätigt, dass die Backup-Umgebung zum größten Angriffsziel geworden ist. Hacker schauen sich zuerst an, ob sie die Datensicherungen eines Unternehmens verschlüsseln können. Gelingt das nicht, hat das Unternehmen eine Möglichkeit, seine Systeme nach einem Angriff wiederherzustellen – die Angreifer versuchen es dann bei attraktiveren Opfern anderswo. Also braucht es Datenmanagementlösungen, die für eine extreme Sicherheit sorgen müssen. Dazu kommt der Fachkräftemangel, der eine Herausforderung für das Halten von Security-Standards und regelmäßige Checks in den Unternehmen bedeutet. Eine Folge daraus ist eine weitere große Gefahr – die Reinfektion. Werden aus dem Backup bereits dort infizierte und beschädigte Datensätze wiederhergestellt, nimmt „Data Poisoning“ seinen Lauf.

Mario Zimmermann, Veeam Austria: »Die Backup-Umgebung ist zum größten Angriffsziel geworden.«

Wie gehen kleinere Unternehmen am besten mit den Anforderungen an die IT-Sicherheit bei ihren Prozessen um?

Zimmermann: Ein Hebel für Cloudservices ist für KMU das Thema Security. Kleinere Unternehmen profitieren von der Infrastruktur, den Sicherheitsfeatures und auch den Experten, die Cloudanbieter haben. Die Frage, wo meine Daten gespeichert werden und wo meine Anwendungen laufen, stellt sich damit nicht mehr. Es geht vielmehr um die Frage der Komplexität und Beherrschbarkeit. Ja, auch die Cloud bringt mit Themen wie Microservices und Containertechnologien Komplexität in diese Systeme. Das ist schon zur Normalität in der IT geworden – vielleicht schaffen wir künftig ohnehin nur noch den Überblick über die Technik mit KI-Unterstützung. Die Regulierung in der EU mit NIS 2, DORA (Anm. „Digital Operational Resilience Act“) und anderen Vorgaben mag manchen zu weit gehen. Letztlich können wir aber aus Sicht von Bürgerrechten und aus Sicht der Datenintegrität froh sein, in Europa zu leben.

Was sind Ihre Tipps zusammengefasst?
Die Cloud hat sich durchgesetzt – sie ist nicht mehr aufzuhalten. Aber auch bei Standardservices wie Microsoft 365 sollten Daten gesichert werden, damit diese zu jeder Zeit verfügbar sind. Denn eine IT-Infrastruktur in der Cloud schützt nicht automatisch vor Angriffen. Mit „Backup as a Service“ bieten wir für Unternehmen die Datensicherung in jeder Umgebung. Wichtig sind aber auch technologieübergreifende Schnittstellen zwischen der IT eines Unternehmens und den Fachleuten in den Response-Abteilungen von Security-Anbietern. Sie können aus einer unüberschaubaren Zahl an Ereignissen täglich jene vielleicht fünf herausfiltern, die man sich genauer anschauen sollte. Die Zusammenarbeit mit Profis sehe ich allein bei der wachsenden Geschwindigkeit der Veränderungen als notwendig. Der Bereich der Cloud Security wird weiter wachsen, auch bei Herstellern wie Veeam.

Und wir benötigen eigentlich nicht die Sensibilität für diese Themen vom Menschen in der Rolle des Mitarbeiters, sondern der Privatperson. Man sollte von klein auf beigebracht bekommen, dass man nicht auf öffentlichen Plattformen sensible Daten wie etwa seinen Wohnort preisgibt.


 

Klemens Himpele, CIO Stadt Wien

Wie lassen sich Nutzerfreundlichkeit, Innovation und Sicherheit in technischen Systemen unter einen Hut bringen?

Klemens Himpele: Das Thema Usability ist wichtig, aber Sicherheitsanforderungen sind es auch. Die Gurtpflicht wurde nicht eingeführt, weil der Gurt so bequem ist. Im Straßenverkehr sind mit der technischen Entwicklung aus Sicherheitsgründen gesetzliche Geschwindigkeitsbegrenzungen und andere Verkehrsregeln hinzugekommen. Ähnliche Vorkehrungen braucht es auch in der IT-Sicherheit, gerade bei Geräten in Netzwerken. Hier müssen wir in der Gesellschaft ein gemeinsames Verständnis entwickeln, dass Sicherheit kein Hobby einzelner Beauftragter ist. Sie ist die Basis für unsere Arbeitssicherheit und für saubere Systeme und Daten. Es besteht ein gewisser Widerspruch zwischen Sicherheit und Nutzerfreundlichkeit – den kann man aber so klein wie möglich halten. Das betrifft mitunter einfache Maßnahmen wie zum Beispiel eine Mehr-Faktoren-Authentifizierung.

Wie ist die Sicherheitslage auch in der Verwaltung? Und welche rechtlichen Rahmenbedingungen wirken für Sie hier?

Himpele: Große Einrichtungen ebenso wie zunehmend kleinere sind permanent Angriffen ausgesetzt. Natürlich haben wir neben Sicherheitstechnik auch entsprechende organisatorische Strukturen wie einen CISO und ein CERT eingerichtet, die sich mit Bedrohungsszenarien beschäftigen. Was ich gut finde: Auch von gesetzlicher Seite kommt über die Europäische Union mehr Druck. Das NIS-1-Gesetz hat bereits einzelne Einrichtungen der Stadt Wien tangiert, mit NIS 2 sind wir jetzt zusätzlich als Landesverwaltung betroffen. Mit der Lieferkettenproblematik sind auch Partner angehalten, entsprechend NIS-konform zu agieren. Hersteller, die beispielsweise Systeme mit vorgegeben Passwort ausliefern, dessen Änderung nicht möglich ist, werden künftig nicht mehr zum Zug kommen.

Eine Gefährdung der Sicherheit in der Lieferkette hat man auch an einem großen Fall im Frühjahr sehen können, als ein über lange Zeit unbemerkter Angriff auf eine Open-Source-Bibliothek bekannt wurde. Die Einbettung von Technologien Dritter ist eine gängige Praxis in der IT, um überhaupt gute Dienste zu ermöglichen. Die Schwierigkeit ist nun, das hochvernetzte Ökosystem einigermaßen im Griff zu haben. Die Alternative wäre das Abstecken des Rechners von der Außenwelt. Die Gefahren wären damit gebannt, aber die Funktionalitäten wären vollständig eingeschränkt. Der Computer wäre dann bestenfalls eine elektronische Schreibmaschine.

Welche Veränderungen im Bereich Sicherheit sehen Sie zwingend?

Himpele: Mit wachsenden KI-Systemen zur Erstellung von gefälschten Inhalten – darunter auch Sprache und Video – wird die vermeintliche Authentizität etwa bei Betrugsversuchen immer stärker. Gleichzeitig schrumpft die Möglichkeit des Erkennens für den User – ob das nun ein vom Enkeltrick Betroffener ist, oder bei einem CEO-Fraud im beruflichen Bereich. Ich bin skeptisch, dass wird das alles rein technisch lösen können. Klarerweise entwickelt sich auch die IT weiter, mit Mustererkennungen in Datenströmen beispielsweise. Aber wir brauchen zusätzlich prozessuale Lösungen. Im Privatbereich ist es der Rückruf einer gespeicherten Nummer, im Firmenumfeld sind es banale Dinge wie das Vier-Augen-Prinzip – und auch dort der Rückruf. Vor allem in Stresssituationen funktionieren Menschen nachweislich eingeschränkt, sie werfen Vorkehrungen über Bord. Gerade große Serviceanbieter drängen die Nutzer*innen oft, immer alles schnell zu erledigen. Das ist zu hinterfragen und es wird nicht immer unbedingt notwendig sein. Wir brauchen also auch Lösungen, die vielleicht altmodisch erscheinen.

Darüber hinaus brauchen wir auf einer größeren Skala gedacht eine starke europäische Industriepolitik, die konkurrenzfähige europäische Lösungen hervorbringt. Die regulatorische Arbeit der EU-Kommission geht schon in die richtige Richtung, um sich von Abhängigkeiten in vielen Bereichen der Digitalisierung zu emanzipieren.

Klemens Himpele, Stadt Wien: »Sicherheit ist kein Hobby einzelner Beauftragter.«

Ihr Fazit?

Himpele: Es ist zentral zu verstehen, dass IT-Sicherheit nicht nur ein Thema der IT-Abteilung ist. Es ist eine Aufgabe für das gesamte Unternehmen oder der kompletten Verwaltungsorganisation. IT-Sicherheit geht jeden an – etwa beim Hinterfragen von Prozessen, und Schließen von Wissenslücken. Nicht jeder muss ein Sicherheitsmitarbeiter sein und technisch alles verstehen können. Aber jeder sollte ein Verständnis für die Gefahren haben und dass man damit sinnvoll umgehen muss – beispielsweise bei einer transparenten Ausgabe von Arbeitsgeräten und dem Prozess des Einziehens bei Ende eines Arbeitsverhältnisses. Das ist kein Hexenwerk, aber Verständnis für den Sicherheitsaspekt auch bei diesen einfachen Dingen zu entwickeln, ist essenziell.


 

Helmut Leopold, Head of Center for Digital Safety & Security, AIT Austrian Institute of Technology

Mit dem Trend zu Generative AI rückt das Thema Datensouveränität stärker in den Vordergrund.

Helmut Leopold: Die Frage der Cybersecurity und der IT-Infrastruktur ist bereits Jahrzehnte alt. Dass alle Schutzkonzepte und auch die kommenden regulatorischen Anforderungen wie der „Cyber Resilience Act“ bei den KMU angekommen sind, bezweifle ich aber. Für viele bedeuten die gesetzlichen Vorgaben nur Bürokratie, die Kosten verursacht. Das AIT hat 2019 im Auftrag des BMK eine Studie im Industriesektor durchgeführt. Das Ergebnis: Für die Großen ist Cybersecurity ein wichtiges Thema. Für ein Drittel ist es keine Priorität. Ein weiteres Drittel weiß nicht, wie es überhaupt damit umgehen soll. Dieser Studie zufolge ist die produzierende, kleinstrukturierte Unternehmenslandschaft in Österreich eher schlecht aufgestellt. Wie kann man diesen Unternehmen, die in der Regel nur begrenzt Ressourcen in die Cybersicherheit stecken, nun helfen? Darüber sollten wir alle uns in Österreich Gedanken machen.

Rund um den aktuellen Hype um KI müssen wir auch das Thema Datenplattformen diskutieren. Woher kommen die Daten, um KI zu trainieren? Wer checkt die Qualität? Wie stelle ich sicher, dass meine Daten unverfälscht sind? Wie kann ich für die Verwendung meiner Daten kommerzielle Modelle sicherstellen? Niemand weiß, woher die Daten bei ChatGPT kommen – das ist keine Superintelligenz, sondern eine statistische Mittelmäßigkeit in den Ergebnissen. Wir brauchen in Europa Plattformen, die Transparenz und Klarheit für jeden ins Geschäft mit Daten bringen. Das Modell der Datenräume des europäischen Daten-Ökosystems Gaia-X bietet diese Möglichkeiten für unveränderliche Daten, Hoheit über die eigenen Daten zu behalten, mit „Privacy by Design“ und „Quellenangabe by Design“. Derzeit werden Konzepte für Marktplätze für eine faire Nutzung von Daten gebaut – die nicht zum Nachteil von Konsument*innen oder einzelner Unternehmen geraten. Dadurch wird erst die Grundlage für neue Daten getriebene Geschäftsmodelle und für sichere, verantwortungsvolle und ethische KI-Systeme geschaffen und Vendor-Lock in Effekten durch Datenzentralisierungen entgegengewirkt.

Helmut Leopold, AIT: »Transparenz und Klarheit ins Datengeschäft bringen.«

In diesen „Data Spaces“ können dann auch neue Datenverarbeitungsansätze wie „compute-to-data“ realisiert werden; das heißt, anstatt die Daten zu einen Datenverarbeiter zu senden, verbleiben die Daten an ihrem ursprünglichen Ort und die Berechnung erfolgt vor Ort. Das bedeutet, dass der Datenproduzent die Kontrolle über seine eigenen Daten behält.

Die Daten können auch sicher verschlüsselt und auf mehrere Speicherorte automatisiert verteilt werden, um so höchste Datenverfügbarkeit zu erreichen aber auch sicher zu stellen, dass Daten nicht gestohlen oder manipuliert werden. Entsprechende Lösungen gibt es dazu vom AIT bereits.

Ebenso ist eine Absicherung gegen Angriffe durch Dritte – zum Beispiel in der Lieferkette – Teil des Konzepts. Denn Daten zum Schaden eines Unternehmens zu verändern, kann kriminelle Ursachen haben, aber auch Terrorismus oder sogar ein Angriff auf Staaten und Gesellschaften. Die größte Bedrohung in unserer vernetzten Welt ist überhaupt eine Manipulation unserer Gesellschaft. Dessen sind wir uns oft nicht bewusst – wie mächtig die Supermaschine Internet geworden ist, im Guten wie im Schlechten.

Europa hat in der Vergangenheit ausschließlich auf Effizienzsteigerungen in der Wirtschaft gesetzt und damit digitale Entwicklungen und IT-Services in andere Regionen ausgelagert. Wir sind heute meist auf die Rolle der User zurückgefallen. Aber wir haben das Rennen noch nicht verloren. Es gibt nun in der Digitalisierung neue Ansätze für eine neue globale Positionierung von Europa als Wirtschafts- und Technologieführer. Sicher IT-Systeme, verantwortungsvolle Nutzung von Daten, vertrauenswürdige KI und digitale Lösungen, die uns unterstützen und die wir kontrollieren können sind für unsere digitale Transformation unerlässlich.

Alle Menschen, die heute in irgendeiner Form Technik bauen, sollten mit einem Minimalverständnis für IT, Daten- und Cybersicherheit gebildet werden. Denn IT-Lösungen stehen nicht nur für eine Funktionalität, sondern auch für Safety und Security. Das erfordert aber auch ein Bewusstsein, dass diese Produkte und Services einen Preis haben dürfen.

Haben wir bereits Lösungen am Markt, die verhindern, dass Daten manipuliert werden oder darauf aufmerksam machen?

Leopold: Die Hersteller und allen voran auch das AIT bieten bereits KI-basierte Lösungen für Anomalie-Erkennung in der IT. Man geht weg von regelbasierten Systemen, hin zu trainierbaren Algorithmen. Sie erkennen dann beispielsweise untypische Situationen – etwa der Zugriff auf einen Server zu einer ungewöhnlichen Zeit von einer bislang unbekannten IP-Adresse. Wir bieten mit der AIT Cyber Range hier in Österreich auch modernste Trainingssysteme für kritische Infrastrukturbetreiber wie Energienetze oder Produktionsumgebungen an und simulieren IT- und OT-Infrastrukturen für Cyber Security Trainings. So können Abläufe, Kommunikationswege und Entscheidungen im Krisenfall im Trockendock wirklichkeitsnah trainiert werden. Hierbei ist es bemerkenswert, dass das AIT derzeit weltweit das einzige Unternehmen ist, welche als spezielles Collaboration Center der Atomenergiebehörde Cyber Security Trainings für Nuklearkraftwerksbetreiber und Behörden durchführt.

Mit Threatget bieten wir eine international führende Lösung an, um IT- und OT-Systeme von vornherein Cyber höchst sicher zu konzipieren und zu bauen. Mit solchen neuen Safety und Security by Design Ansätzen wird die Entwicklung von sicheren digitalen Systemen disruptiv verändern.  

Mit der Lösung Catch.direct bieten wir gemeinsam mit Ebner Industrieofenbau und dem Linzer KMU X-Net einen verteilten Datenmarktplatz für Wertschöpfungsketten in der Produktion, bei dem Daten zwar miteinander verknüpft werden, sie aber auf Basis von „Smart Encryption“ nicht vom Gegenüber ausgelesen und analysiert werden können. Das „Matchen“ der Daten passiert in einem verschlüsselten Raum.

Dann stellen wiederum Fake-Shops ein wachsendes Problem für Konsument*innen dar. Hat man einmal bezahlt, ist das Geld oft verloren – umso wichtiger ist die Prävention. Gemeinsam mit dem Linzer Unternehmen X-Net Services und dem Österreichischen Institut für angewandte Telekommunikation hat das AIT einen „Fake-Shop Detector“ entwickelt, der eine automatisierte Betrugsdetektion und den Echtzeitschutz mithilfe von KI direkt im Internetbrowser der User vereint. Es ist ein kostenlos verfügbarer Betrugsschutz im eigenen Internetbrowser, ohne auf Privatsphäre verzichten zu müssen.


 

Peter Reichstädter, CIO & Leiter der Abteilung IKT-Strategie des Österreichischen Parlaments

Data_Security_5_3Peter_Reichstädter.jpg

Peter Reichstädter, Parlament: »In Wahljahren ist mit ›Political Hacking‹ zu rechnen.«

Die Resilienz von Daten hinsichtlich Qualität und Manipulation ist zu einem wesentlichen Aufgabenbereich in der Cybersicherheit gewachsen. Wie geht man im österreichischen Parlament damit um?

Peter Reichstädter: Das Ziel in der IT früher war das Ausheben eines Burggrabens rund um meine Festung. Diese IT-Sicherheitsarchitektur ist veraltet, heute benötigt man Abschottungen und Kontrollen nicht nur am Perimeter, sondern in allen Datenräumen. Ein fester Bestandteil des Lebenszyklus von Daten von der Entstehung bis zur Löschung sind Sicherheitsmaßnahmen wie Anomalie-Erkennung und ein sauberes Identity-Management und Zwei-Faktoren-Authentifizierung der User. Wir brauchen ein neues Denken, das auch zu neuen Lösungen führen kann. Ansätze wie „Security by Design“ und „Privacy by Design“ unterstützen dieses Sicherheitsdenken bereits bei der Planung und dem Kreieren von Anwendungen und Systemen. Das beinhaltet zum Beispiel, dass Funktionen oder der Zugang zu Daten nicht automatisch mit richtigen Zugangsdaten von jedem geöffnet werden können, sondern abgestimmt auf weitere Faktoren. Mit dem Prinzip „Zero Trust“ ist es dann auch nicht mehr möglich, sich mit einem zentralen Admin-Kennwort durchs komplette System zu bewegen – ohne gewisse Checks dazwischen gemacht zu haben. Die Vorteile daraus liegen auf der Hand: Wenn wir schon geschützte Daten haben und ihre Quellen kennen, lassen sich daraus schöne Datenräume aufbauen, auch im Hinblick auf Generative-AI-Anwendungen. Aber alles, was bis dorthin nicht sauber betrieben und transparent abgesichert worden ist, würde das Bild verfälschen.

Wie verändert sich die Cybersicherheitslage auch für die Politik?

Reichstädter: Wahljahre sind Zeiten, in denen mit „Political Hacking“ zu rechnen ist. Wir unterstützen dazu im Parlament mit Wissensvermittlung für die Aufklärung und Bewusstseinsbildung. Gemeinsam mit Nachrichtendiensten und heuer auch dem AIT gehen wir auf Bedrohungslagen ein. Ein Fake-Video eines Politikers ist heute in wenigen Minuten erstellt und es kann mit wenig Aufwand auf Facebook geteilt werden. Wenn ich als Betroffener aber meine eigenen Website und Kanäle mit authentischen Inhalten schütze und diese Videos dort nicht zu finden sind, bildet das so etwas wie ein Sicherheitsnetz. Die Antivirus-Software am eigenen Rechner schützt nicht vor Manipulation, dazu entstehen derzeit spezialisierte Programme wie etwa Fake-News-Checker. Natürlich entwickelt sich auf die Qualität der Fälschungen, wir begeben uns damit wie immer einen Wettlauf der Systeme des Austricksens und Aufdeckens. Experten sind überzeugt, dass wir künftig für eine plausible Bestätigung des Wahrheitsgehalts von Inhalten entsprechende Prozesse und Vernetzung über einzelne Plattformen hinweg brauchen. Auch Services in der Verwaltung werden dahingehend optimiert. Die Nachricht einer Behörde in meinem E-Mail-Posteingang, die offen per Link Serviceprozesse anstößt, ist hoffentlich bald Vergangenheit. Wesentlich sicherer ist die Kommunikation mit den Bürger*innen in abgeschlossenen Räumen. In einer solchen Umgebung fällt mir auch ein Authentizitäts-Check einer Nachricht leichter.

Auch sind die Zeiten vorbei, als man alle seine Daten im Keller des Hauses gelagert hat. Auch uns stellen die Lieferketten bei IT-Services – ob das jetzt aus der Cloud ist oder bei Partnern wie dem Bundesrechenzentrum liegt – vor eine große Aufgabe, ebenso der Mangel an Fachkräften generell im IT-Markt.

Ihr Fazit?

Reichstädter: „Data Security“ neu denken, bedeutet die Kombination aus Mensch und Technik zu betrachten. Ich will dabei auch keine „Use Cases“ für die Technologie, sondern ich brauche eine Lösung für ein Problem. Dieses Spektrum enthält so viele Farben, die auch entdeckt werden wollen. Ich empfehle auf dieser Reise auch gemeinsame Wege mit Gleichgesinnten und Partnern. Man muss nicht immer alles neu erfinden und kann viel von anderen lernen.


Tipps auf den schnellen Blick

1. Datenqualität
Auch KMU sollten sich verstärkt mit dem Thema Datenqualität und der Herkunft von Datenquellen beschäftigen, um rechtzeitig Anomalien zu erkennen. Ein Gerüst dafür bilden Richtlinien, Sicherheitsprotokolle und auch Schulungen der
Mitarbeiter*innen. 

2. Wissen
IT-Sicherheit ist nicht nur ein Thema der IT-Abteilung. Es ist eine Aufgabe für das gesamte Unternehmen oder der kompletten Verwaltungsorganisation. IT-Sicherheit geht jede*n an – etwa beim Hinterfragen von Prozessen, und Schließen von Wissenslücken.

3. Infrastruktur
Die Cloud hat sich durchgesetzt – sie ist nicht mehr aufzuhalten. Aber auch bei Standardservices wie Microsoft 365 sollten Daten gesichert werden, damit diese zu jeder Zeit verfügbar sind. Denn eine IT-Infrastruktur in der Cloud schützt nicht automatisch vor Angriffen.

Meistgelesene BLOGS

Mario Buchinger
07. August 2024
Der Ruf nach Resilienz in den Lieferketten wird lauter. Nach den Erfahrungen einer weltweiten Pandemie und den immer deutlicheren Auswirkungen der Klimakrise scheint das sinnvoll. Doch was macht eine ...
Nicole Mayer
19. August 2024
Am qualityaustria Excellence Day im Juni wurde nicht nur das AMS Kärnten mit dem Staatspreis Unternehmensqualität 2024 ausgezeichnet, sondern auch drei weitere exzellente Unternehmen zum Staatspreis n...
Marlene Buchinger
09. August 2024
CSRD, ESRS, CBAM – Nachhaltigkeitsbegriffe schnell erklärt. Nachhaltigkeit wird immer mehr Teil der Führungsarbeit. Daher lohnt ein Blick auf die wichtigsten Begriffe. Wie in jeder Fachdisziplin gibt ...
Firmen | News
24. September 2024
Konkrete Lösungen und relevante Technologien für eine klimaneutrale Industrie stehen im Mittelpunkt der dritten internationalen Konferenz am 24./25. Oktober in Wien Am 24. und 25. Oktober 2024 veranst...
Firmen | News
20. September 2024
Gemeinsam die Welle der Vorschriften meistern: Navigieren im Cybersecurity-Meer Donnerstag, 10. Oktober 2024, 09:00 Uhr bis 17:15 Uhr Austria Trend Hotel Savoyen WienRennweg 16, 1030 Wien Neue Regulie...
Marlene Buchinger
07. August 2024
Was bedeutet Nachhaltigkeit und warum ist das Thema so wichtig? Der Begriff Nachhaltigkeit und die damit verbundenen Veränderungen werfen bei vielen Führungskräften noch Fragen auf. Aus diesem Grund e...
Marlene Buchinger
07. August 2024
Schulungsangebote und ESG-Tools schießen wie Pilze aus dem Boden. Doch anstelle das Rad neu zu erfinden, sollten bestehende Strukturen neu gedacht werden. Die Anforderungen an Unternehmen punkto Verbe...
Marlene Buchinger
11. September 2024
Prozessverständnis und Bestandsaufnahme der Nachhaltigkeit Nachhaltigkeit ist wie das Thema Qualität – jede*r trägt dazu bei und die Betrachtung endet nicht am Werkstor oder der Bürotür. Daher sind Pr...

Log in or Sign up