"Tag der Computersicherheit" am 30. November

Acht Fragen, acht Antworten.
Am heutigen „Tag der Computersicherheit“ widmet sich unser Blog dem Thema "IT-Security".
Unser team Datenschutzexperte Dr. Michael Schafferer arbeitet zu diesem spannenden Bereich und hat die wichtigsten Fragen vorab mit uns geklärt.

1.    Was verstehen ExpertInnen unter dem Begriff „Computersicherheit“?
Der Begriff der „Computersicherheit“ hat vorrangig einen geschichtlichen Charakter. Zu Beginn der Nutzung von Personal Computern (PCs) verstand man darunter, die Hardware und Software für sich funktional und im weiteren Zusammenspiel abzusichern.
Heute jedoch haben sich die Schwerpunkte gewandelt und der Gegenstand hat sich ausdifferenziert. So wird mittlerweile in diesem Bereich von Spezialisierungen und Abgrenzungen im Sinne von IT-Security, OT-Security und Safety, Informationssicherheit, Datenschutz, u.D. gesprochen. Mein Tätigkeitsbereich erstreckt sich insbesondere im Bereich „IT-Security“.

2.    Wie haben sich die Anforderungen an IT-Security in den letzten Jahren geändert?
Die fortschreitende Digitalisierung ist eine der größten Herausforderungen unserer heutigen Gesellschaft. Aus meiner Sicht – und vermutlich der vieler ExpertInnen – gehen damit die Vernetzung und teilweise Öffnung von Systemlandschaften einher.
Dadurch ergeben sich völlig andere Bedrohungsszenarien und Angriffsflächen: Immer stärker imminente Komplexitäten und Abhängigkeiten münden in den Verlust der Verwaltbarkeit und Überschaubarkeit. Wesentlich ist daher ein vorausschauender Ansatz, um im Ernstfall bestens gerüstet zu sein.  

3.    Welchen Einfluss hat die DSGVO, die mit 25. Mai 2016 in Kraft getreten ist, auf das Thema „IT-Security“?  
Die DSGVO hat meiner Meinung nach in Österreich - und auch im restlichen EU-Raum - dazu geführt, dass das Thema „IT-Security“ verstärkt bei Entscheidungsprozessen berücksichtigt wird.
Genau genommen, wurden österreichischen Unternehmen bereits im Vorfeld ähnliche Anforderungen zur europäischen DSGVO gestellt. Dies zeigt ein Vergleich zwischen dem österreichischen Datenschutzgesetz (DSG) mit den Anforderungen gemäß der Novellierung der DSGVO. Themen wie Datenschutz, Betroffenenrechte, u.D. wurden dort bereits behandelt.

4.    Welche Mindestanforderungen sollten Unternehmen setzen, um als „sicher“ zu gelten?
Die Branche und der Markt im Bereich „IT-Security“ haben sich meiner Meinung nach enorm entwickelt und bieten eine weitreichende Bandbreite an Möglichkeiten, sich gegen spezifische Bedrohungen zu schützen. Neben der Koexistenz verschiedener Methoden, Standards, Software, Hardware, Zertifizierungen usw., ist es jedoch von Nöten, die jeweiligen Strategien an die gesetzten Unternehmensziele anzupassen.  
Daher kann ich nur mit einer Mindestanforderung als Antwort dienen: sich als Unternehmen mit dem Thema proaktiv auseinanderzusetzen, um sicher zu sein.  

5.    Welchen Beitrag leistet team zum Thema „IT-Security“?
Aufgrund der Tätigkeitsbereiche unserer KundInnen zeigt sich, dass das Thema „IT-Security“ Einfluss auf die Bereiche Service, Dienstleistungen oder auch Infrastrukturen hat. Unsere KundInnen, PartnerInnen und Unternehmen müssen sich daher dem Thema und den damit einhergehenden Herausforderungen stellen.
Wir unterstützen sie daher bei der Beratung, Gestaltung und Umsetzung sicherer IT-Systeme und leisten damit einen gesellschaftlichen Beitrag zum Thema „IT-Sicherheit“.
Ich bin derzeit damit beschäftigt, österreichische Stromnetzbetreiber bei der Smart Meter Einführung dahingehend zu unterstützen.

6.    Welchen Zusammenhang gibt es zwischen IT-Security und intelligenten Messsystemen, sogenannten Smart Metern?
Weltweit gesehen, sind die Smart Meter Stromzähler schon seit etlichen Jahren im Einsatz. Es liegen damit bereits fundierte Erkenntnisse zu den Themen „Sicherheit“ und „potentielle Bedrohungen“ dieser durchaus komplexen Systemlandschaft vor.
Mark Elsberg hat in seinem Buch „Black Out – Morgen ist es zu spät“ auf fundierte Weise das Szenario eines europaweiten Black Outs beschrieben. Dort nutzten Hacker die Funktionalität der Fernabschaltung dieser Produkte. Die Fernabschaltung ist gesetzlich in §3 Ziffer 8 IMA-VO 2011 für die österreichischen Netzbetreiber vorgeschrieben – daher nimmt sie in den Risikobetrachtungen und folgenden Maßnahmensetzungen eine gewichtige Rolle ein.

7.    Smart Meter und Blackout: Eine reale Gefahr?
Durchaus! Die sicherheitstechnische Betrachtung der in manchen Ländern eingesetzten Smart Meter zeigt hier klare Schwachstellen. Deshalb sollten die notwendigen Vorkehrungen und allfällige Sicherheitsmaßnahmen in jedem Fall getroffen werden.
In Österreich können die Erfahrungen anderer Länder bei der Beschaffung und Installation von Smart Metern einfließen. Dies ist durchaus eine wertvolle Chance, da Gegenmaßnahmen vorab definiert und bei der Planungsarbeit berücksichtigt werden können.

8.    Ausblick: Wie kann sich das Thema „IT-Security“ in Zukunft entwickeln?
Allgemein gesehen, ist die IT eine junge Branche und das Gebiet der „IT-Security“ eine neue Spezialisierung. Erwartungsgemäß wird die Bedeutung von Informationstechnologien weiterhin steigen. Neben der Verbreitung und den an Einfluss gewinnenden IT-Systemen werden jedoch auch neue Angriffsflächen und Bedrohungsmuster durch die verstärkte Vernetzung und Digitalisierung (z.B. IoT und vernetzte Autos, Haushaltsgeräte u.D.) geboten. Das macht eine Absicherung der Systeme in jedem Fall erforderlich.

Die IT-Security-Branche und die agierenden ExpertInnen werden sich in jedem Fall damit messen müssen.