team@Audit Competence Conference 2020

Zum 10. Mal fand heuer die „Audit Competence Conference“ von 23.- 24. Jänner 2020 in Wien statt.
Veranstaltet wurde die zweitägige Konferenz vom Österreichischen Institut für interne Revision (IR). team war vor Ort dabei, um mehr über aktuelle Entwicklungen zu erfahren und den branchenübergreifenden Dialog zu fördern.

„Audit Competence Conference“ als etablierte Fachtagung  
Das „Österreichische Institut für interne Revision“ hat sich als Plattform zur Diskussion aktueller branchenrelevanter Themen für Revisorinnen und Revisoren in Österreich etabliert.  Das Institut verfolgt das Ziel, die Interne Revision in Österreich zu fördern und weiterzuentwickeln. Dies wird ermöglicht durch professionelle Aus- und Weiterbildungen, regelmäßige internationale und nationale Treffen sowie aktuelle Informationen über Grundsätze und Methoden zum Thema.
Dr. Schafferer als team-Experte im Bereich IT-Security, Datenschutz und Datensicherheit besuchte die „Audit Competence Conference“, um sich über aktuelle Branchentrends zu informieren und auszutauschen.

Perspektivenwechsel fördert Verständnis
Die team Mitarbeiterinnen und Mitarbeiter unterstützen bei ihrer Tätigkeit konforme Umsetzungen, die auch der Internen Revision unterliegen. Der Perspektivenwechsel ermöglicht daher ein beiderseitiges Verständnis für die gesetzlichen Rahmenbedingungen und die Bedürfnisse der Kundinnen und Kunden bei der Internen Revision. So werden bestmögliche Ergebnisse über den gesamten Revisionsprozess hinweg erzielt.

Von der IT-Sicherheit zum Risikomanagement
Die Vorträge der diesjährigen Konferenz legten einen Fokus auf das Thema „IT-Sicherheit“ in der Internen Revision. Dies wird begründet durch die Ende 2018 in Kraft getretene NISG (Netz- und Informationssystemsicherheitsgesetz): Unternehmen, die kritische Dienste im Staat anbieten, sind angehalten, verstärkt Maßnahmen für die Sicherheit ihrer IT-Infrastruktur zu setzen.
Eine wesentliche Rolle spielten auch die Themen „Risikomanagement“ und Standards im Bereich „Sicherheits- und Qualitätsmanagement“. So wurden auch etablierte Modelle der Internen Revision kritisch hinterfragt. Erwartungsgemäß werden die Integration und Harmonisierung sowie die Weiterentwicklung bestehender Instrumente zukünftig an Bedeutung gewinnen.

Vom Berater zum Bindeglied
Die team Mitarbeiterinnen und Mitarbeiter sind nicht nur Berater im Prozess der Internen Revision. Sie nehmen vielmehr die Rolle eines Brückenbauers ein: Sei es zwischen Projekt und externem Auftragnehmer, aber auch zwischen unternehmensinternen Stakeholdern, denen auch die Interne Revision angehört.

„Tag der Computersicherheit“ am 30. November

Acht Fragen, acht Antworten.
Am heutigen „Tag der Computersicherheit“ widmet sich unser Blog dem Thema „IT-Security“.
Unser team Datenschutzexperte Dr. Michael Schafferer arbeitet zu diesem spannenden Bereich und hat die wichtigsten Fragen vorab mit uns geklärt.

1.    Was verstehen ExpertInnen unter dem Begriff „Computersicherheit“?
Der Begriff der „Computersicherheit“ hat vorrangig einen geschichtlichen Charakter. Zu Beginn der Nutzung von Personal Computern (PCs) verstand man darunter, die Hardware und Software für sich funktional und im weiteren Zusammenspiel abzusichern.
Heute jedoch haben sich die Schwerpunkte gewandelt und der Gegenstand hat sich ausdifferenziert. So wird mittlerweile in diesem Bereich von Spezialisierungen und Abgrenzungen im Sinne von IT-Security, OT-Security und Safety, Informationssicherheit, Datenschutz, u.D. gesprochen. Mein Tätigkeitsbereich erstreckt sich insbesondere im Bereich „IT-Security“.

2.    Wie haben sich die Anforderungen an IT-Security in den letzten Jahren geändert?
Die fortschreitende Digitalisierung ist eine der größten Herausforderungen unserer heutigen Gesellschaft. Aus meiner Sicht – und vermutlich der vieler ExpertInnen – gehen damit die Vernetzung und teilweise Öffnung von Systemlandschaften einher.
Dadurch ergeben sich völlig andere Bedrohungsszenarien und Angriffsflächen: Immer stärker imminente Komplexitäten und Abhängigkeiten münden in den Verlust der Verwaltbarkeit und Überschaubarkeit. Wesentlich ist daher ein vorausschauender Ansatz, um im Ernstfall bestens gerüstet zu sein.  

3.    Welchen Einfluss hat die DSGVO, die mit 25. Mai 2016 in Kraft getreten ist, auf das Thema „IT-Security“?  
Die DSGVO hat meiner Meinung nach in Österreich – und auch im restlichen EU-Raum – dazu geführt, dass das Thema „IT-Security“ verstärkt bei Entscheidungsprozessen berücksichtigt wird.
Genau genommen, wurden österreichischen Unternehmen bereits im Vorfeld ähnliche Anforderungen zur europäischen DSGVO gestellt. Dies zeigt ein Vergleich zwischen dem österreichischen Datenschutzgesetz (DSG) mit den Anforderungen gemäß der Novellierung der DSGVO. Themen wie Datenschutz, Betroffenenrechte, u.D. wurden dort bereits behandelt.

4.    Welche Mindestanforderungen sollten Unternehmen setzen, um als „sicher“ zu gelten?
Die Branche und der Markt im Bereich „IT-Security“ haben sich meiner Meinung nach enorm entwickelt und bieten eine weitreichende Bandbreite an Möglichkeiten, sich gegen spezifische Bedrohungen zu schützen. Neben der Koexistenz verschiedener Methoden, Standards, Software, Hardware, Zertifizierungen usw., ist es jedoch von Nöten, die jeweiligen Strategien an die gesetzten Unternehmensziele anzupassen.  
Daher kann ich nur mit einer Mindestanforderung als Antwort dienen: sich als Unternehmen mit dem Thema proaktiv auseinanderzusetzen, um sicher zu sein.  

5. Welchen Beitrag leistet team zum Thema „IT-Security“?
Aufgrund der Tätigkeitsbereiche unserer KundInnen zeigt sich, dass das Thema „IT-Security“ Einfluss auf die Bereiche Service, Dienstleistungen oder auch Infrastrukturen hat. Unsere KundInnen, PartnerInnen und Unternehmen müssen sich daher dem Thema und den damit einhergehenden Herausforderungen stellen.
Wir unterstützen sie daher bei der Beratung, Gestaltung und Umsetzung sicherer IT-Systeme und leisten damit einen gesellschaftlichen Beitrag zum Thema „IT-Sicherheit“.
Ich bin derzeit damit beschäftigt, österreichische Stromnetzbetreiber bei der Smart Meter Einführung dahingehend zu unterstützen.

6.    Welchen Zusammenhang gibt es zwischen IT-Security und intelligenten Messsystemen, sogenannten Smart Metern?
Weltweit gesehen, sind die Smart Meter Stromzähler schon seit etlichen Jahren im Einsatz. Es liegen damit bereits fundierte Erkenntnisse zu den Themen „Sicherheit“ und „potentielle Bedrohungen“ dieser durchaus komplexen Systemlandschaft vor.
Mark Elsberg hat in seinem Buch „Black Out – Morgen ist es zu spät“ auf fundierte Weise das Szenario eines europaweiten Black Outs beschrieben. Dort nutzten Hacker die Funktionalität der Fernabschaltung dieser Produkte. Die Fernabschaltung ist gesetzlich in §3 Ziffer 8 IMA-VO 2011 für die österreichischen Netzbetreiber vorgeschrieben – daher nimmt sie in den Risikobetrachtungen und folgenden Maßnahmensetzungen eine gewichtige Rolle ein.

7.    Smart Meter und Blackout: Eine reale Gefahr?
Durchaus! Die sicherheitstechnische Betrachtung der in manchen Ländern eingesetzten Smart Meter zeigt hier klare Schwachstellen. Deshalb sollten die notwendigen Vorkehrungen und allfällige Sicherheitsmaßnahmen in jedem Fall getroffen werden.
In Österreich können die Erfahrungen anderer Länder bei der Beschaffung und Installation von Smart Metern einfließen. Dies ist durchaus eine wertvolle Chance, da Gegenmaßnahmen vorab definiert und bei der Planungsarbeit berücksichtigt werden können.

8.    Ausblick: Wie kann sich das Thema „IT-Security“ in Zukunft entwickeln?
Allgemein gesehen, ist die IT eine junge Branche und das Gebiet der „IT-Security“ eine neue Spezialisierung. Erwartungsgemäß wird die Bedeutung von Informationstechnologien weiterhin steigen. Neben der Verbreitung und den an Einfluss gewinnenden IT-Systemen werden jedoch auch neue Angriffsflächen und Bedrohungsmuster durch die verstärkte Vernetzung und Digitalisierung (z.B. IoT und vernetzte Autos, Haushaltsgeräte u.D.) geboten. Das macht eine Absicherung der Systeme in jedem Fall erforderlich.

Die IT-Security-Branche und die agierenden ExpertInnen werden sich in jedem Fall damit messen müssen.

team@it-sa 2018

Mit über 14.000 Besucherinnen und Besuchern zeigte die weltweit größte IT-Security-Messe „it-sa“ vom 08.10. bis 10.10.2018, dass die Themen Informationssicherheit, IT-Sicherheit und Datenschutz für Organisationen weiterhin an Bedeutung gewinnen. Bereits zum zehnten Mal wurde in Nürnberg zur Dialogplattform für IT-Sicherheit eingeladen. Neben einem Besuch der knapp 700 Aussteller hatten die Teilnehmerinnen und Teilnehmer auch die Möglichkeit sich bei mehr als 350 Vorträgen zu informieren. Parallel dazu fand – ebenfalls im Messezentrum Nürnberg – der Kongress „Congress@it-sa“ statt, welcher 20 Foren und Workshops bot. Es ist somit einer der größten Treffpunkte für IT-Security-Expertinnen und -Experten der Industrie, Dienstleistung und Verwaltung aus über 50 Nationen.

Die team war mit zwei IT-Security-Experten vor Ort um sich selbst ein Bild von der it-sa zu machen und Informationen über die neuesten Entwicklungen in der IT-Security-Welt einzuholen. In mehreren Workshops und persönlichen Gesprächen mit Herstellern, sowie anderen Besucherinnen und Besuchern konnten die Herausforderungen der IT-Security anhand von den State-of-the Art Lösungsansätzen diskutiert werden. Die Aussteller präsentierten ihrerseits die neuesten Produkte und gaben auch einen Ausblick auf zukünftig zu erwartende Entwicklungen.

Die it-sa ist die Gelegenheit, sich international und umfassend zu den Themen Cyber- und Informationssicherheit auszutauschen.“ Folgend dieser Beschreibung des deutschen Bundesministers des Inneren, für Bau und Heimat, Horst Seehofer, zur it-sa 2018, konnte sich team ein aktuelles Bild für sich, noch mehr jedoch für unsere Kunden, machen um auch weiterhin für evolvierenden Sicherheitsanforderungen gewappnet zu sein.

Am Puls der Zeit zu sein ist nirgendwo wichtiger als in der Informationssicherheit – der Kongress „Congress@it-sa“ bot team einen Überblick der Security-Lösungen und die Gelegenheit in Diskussionen zu Lösungsansätzen für aktuelle und zukünftige Security-Herausforderungen einbringen. Entsprechend freuen wir uns diesen Weg weiter zu gehen und auf ein Wiedersehen im kommenden Jahr.

Von links nach rechts: Michael Schafferer, Philipp Reschl

teams Beitrag im Bereich IT Security Smart Metering

Die österreichischen Stromnetzbetreiber arbeiten aktuell sehr intensiv an der Einführung von intelligenten Messgeräten, den so genannten Smart Metern. Bevor diese Smart Meter vor Ort verbaut und in Betrieb genommen werden können, müssen notwendige interne IT-Systeme erweitert, oder neu implementiert und in die bestehende Systemlandschaft integriert werden. Die Umsetzung fordert Flexibilität und Offenheit der handelnden Personen für – in der Branche – neuen Technologien und Systemen einhergehend mit umfassenden Änderungen bestehender Abläufe, sowie der Einführung neuer spezifischer Prozesse.

Dies zeigt sich vor allem in den hohen Sicherheits- und Datenschutzstandards, den sich die Branche verschrieben hat. Im Anforderungskatalog Ende-zu-Ende Sicherheit Smart Metering, der von Oesterreichs Energie ausgearbeitet und zu Verfügung gestellt wird, werden die Mindest-Anforderungen zur Sicherheit an die Hersteller bereits im Zuge der Ausschreibung von Stromzählern, Gateways und dem Zentralen System, sowie deren Kommunikationsverbindungen, im Smart Metering Bereich festgelegt. Eine darüberhinausgehende tiefreichende Prozessanalyse, entsprechende Implementierung der Systeme und Planung des Rollouts und Betriebs ist hierbei wesentlich um auch nötige Sicherheitsanforderungen und insbesondere den notwendigen Datenschutz (Stichwort DSGVO), zu gewährleisten.

team unterstützt unter anderem die TINETZ-Tiroler Netze GmbH dabei sich den ergebenden technisch/technologische Herausforderungen zu stellen, denen sich die Netzbetreiber allgemein gegenübergestellt sehen. Eine wesentliche Unterstützung und Vereinheitlichung zur grundlegenden Sicherheitsarchitektur ist auf Basis der Regularien der Interessenvertretung der Österreichischen E-Wirtschaft Akademie GmbH, Oesterreichs Energie, zwar gegeben, diese muss jedoch entsprechend der spezifischen Gegebenheiten adaptiert und an die dedizierte Systemintegration angeglichen werden. Damit liefert team nicht nur einen wesentlichen Beitrag im Zuge der Umsetzung des Smart Metering in Tirol, sondern unterstützt auftragsgemäß die Interessen der betroffenen Kunden auf Wahrung von Datensicherheit und Datenschutz zu sichern.