Michael Schafferer

Zum 10. Mal fand heuer die „Audit Competence Conference“ von 23.- 24. Jänner 2020 in Wien statt.
Veranstaltet wurde die zweitägige Konferenz vom Österreichischen Institut für interne Revision (IR). team war vor Ort dabei, um mehr über aktuelle Entwicklungen zu erfahren und den branchenübergreifenden Dialog zu fördern.

„Audit Competence Conference“ als etablierte Fachtagung  
Das „Österreichische Institut für interne Revision“ hat sich als Plattform zur Diskussion aktueller branchenrelevanter Themen für Revisorinnen und Revisoren in Österreich etabliert.  Das Institut verfolgt das Ziel, die Interne Revision in Österreich zu fördern und weiterzuentwickeln. Dies wird ermöglicht durch professionelle Aus- und Weiterbildungen, regelmäßige internationale und nationale Treffen sowie aktuelle Informationen über Grundsätze und Methoden zum Thema.
Dr. Schafferer als team-Experte im Bereich IT-Security, Datenschutz und Datensicherheit besuchte die „Audit Competence Conference“, um sich über aktuelle Branchentrends zu informieren und auszutauschen.

Perspektivenwechsel fördert Verständnis
Die team Mitarbeiterinnen und Mitarbeiter unterstützen bei ihrer Tätigkeit konforme Umsetzungen, die auch der Internen Revision unterliegen. Der Perspektivenwechsel ermöglicht daher ein beiderseitiges Verständnis für die gesetzlichen Rahmenbedingungen und die Bedürfnisse der Kundinnen und Kunden bei der Internen Revision. So werden bestmögliche Ergebnisse über den gesamten Revisionsprozess hinweg erzielt.

Von der IT-Sicherheit zum Risikomanagement
Die Vorträge der diesjährigen Konferenz legten einen Fokus auf das Thema „IT-Sicherheit“ in der Internen Revision. Dies wird begründet durch die Ende 2018 in Kraft getretene NISG (Netz- und Informationssystemsicherheitsgesetz): Unternehmen, die kritische Dienste im Staat anbieten, sind angehalten, verstärkt Maßnahmen für die Sicherheit ihrer IT-Infrastruktur zu setzen.
Eine wesentliche Rolle spielten auch die Themen „Risikomanagement“ und Standards im Bereich „Sicherheits- und Qualitätsmanagement“. So wurden auch etablierte Modelle der Internen Revision kritisch hinterfragt. Erwartungsgemäß werden die Integration und Harmonisierung sowie die Weiterentwicklung bestehender Instrumente zukünftig an Bedeutung gewinnen.

Vom Berater zum Bindeglied
Die team Mitarbeiterinnen und Mitarbeiter sind nicht nur Berater im Prozess der Internen Revision. Sie nehmen vielmehr die Rolle eines Brückenbauers ein: Sei es zwischen Projekt und externem Auftragnehmer, aber auch zwischen unternehmensinternen Stakeholdern, denen auch die Interne Revision angehört.

Acht Fragen, acht Antworten.
Am heutigen „Tag der Computersicherheit“ widmet sich unser Blog dem Thema „IT-Security“.
Unser team Datenschutzexperte Dr. Michael Schafferer arbeitet zu diesem spannenden Bereich und hat die wichtigsten Fragen vorab mit uns geklärt.

1.    Was verstehen ExpertInnen unter dem Begriff „Computersicherheit“?
Der Begriff der „Computersicherheit“ hat vorrangig einen geschichtlichen Charakter. Zu Beginn der Nutzung von Personal Computern (PCs) verstand man darunter, die Hardware und Software für sich funktional und im weiteren Zusammenspiel abzusichern.
Heute jedoch haben sich die Schwerpunkte gewandelt und der Gegenstand hat sich ausdifferenziert. So wird mittlerweile in diesem Bereich von Spezialisierungen und Abgrenzungen im Sinne von IT-Security, OT-Security und Safety, Informationssicherheit, Datenschutz, u.D. gesprochen. Mein Tätigkeitsbereich erstreckt sich insbesondere im Bereich „IT-Security“.

2.    Wie haben sich die Anforderungen an IT-Security in den letzten Jahren geändert?
Die fortschreitende Digitalisierung ist eine der größten Herausforderungen unserer heutigen Gesellschaft. Aus meiner Sicht – und vermutlich der vieler ExpertInnen – gehen damit die Vernetzung und teilweise Öffnung von Systemlandschaften einher.
Dadurch ergeben sich völlig andere Bedrohungsszenarien und Angriffsflächen: Immer stärker imminente Komplexitäten und Abhängigkeiten münden in den Verlust der Verwaltbarkeit und Überschaubarkeit. Wesentlich ist daher ein vorausschauender Ansatz, um im Ernstfall bestens gerüstet zu sein.  

3.    Welchen Einfluss hat die DSGVO, die mit 25. Mai 2016 in Kraft getreten ist, auf das Thema „IT-Security“?  
Die DSGVO hat meiner Meinung nach in Österreich – und auch im restlichen EU-Raum – dazu geführt, dass das Thema „IT-Security“ verstärkt bei Entscheidungsprozessen berücksichtigt wird.
Genau genommen, wurden österreichischen Unternehmen bereits im Vorfeld ähnliche Anforderungen zur europäischen DSGVO gestellt. Dies zeigt ein Vergleich zwischen dem österreichischen Datenschutzgesetz (DSG) mit den Anforderungen gemäß der Novellierung der DSGVO. Themen wie Datenschutz, Betroffenenrechte, u.D. wurden dort bereits behandelt.

4.    Welche Mindestanforderungen sollten Unternehmen setzen, um als „sicher“ zu gelten?
Die Branche und der Markt im Bereich „IT-Security“ haben sich meiner Meinung nach enorm entwickelt und bieten eine weitreichende Bandbreite an Möglichkeiten, sich gegen spezifische Bedrohungen zu schützen. Neben der Koexistenz verschiedener Methoden, Standards, Software, Hardware, Zertifizierungen usw., ist es jedoch von Nöten, die jeweiligen Strategien an die gesetzten Unternehmensziele anzupassen.  
Daher kann ich nur mit einer Mindestanforderung als Antwort dienen: sich als Unternehmen mit dem Thema proaktiv auseinanderzusetzen, um sicher zu sein.  

5. Welchen Beitrag leistet team zum Thema „IT-Security“?
Aufgrund der Tätigkeitsbereiche unserer KundInnen zeigt sich, dass das Thema „IT-Security“ Einfluss auf die Bereiche Service, Dienstleistungen oder auch Infrastrukturen hat. Unsere KundInnen, PartnerInnen und Unternehmen müssen sich daher dem Thema und den damit einhergehenden Herausforderungen stellen.
Wir unterstützen sie daher bei der Beratung, Gestaltung und Umsetzung sicherer IT-Systeme und leisten damit einen gesellschaftlichen Beitrag zum Thema „IT-Sicherheit“.
Ich bin derzeit damit beschäftigt, österreichische Stromnetzbetreiber bei der Smart Meter Einführung dahingehend zu unterstützen.

6.    Welchen Zusammenhang gibt es zwischen IT-Security und intelligenten Messsystemen, sogenannten Smart Metern?
Weltweit gesehen, sind die Smart Meter Stromzähler schon seit etlichen Jahren im Einsatz. Es liegen damit bereits fundierte Erkenntnisse zu den Themen „Sicherheit“ und „potentielle Bedrohungen“ dieser durchaus komplexen Systemlandschaft vor.
Mark Elsberg hat in seinem Buch „Black Out – Morgen ist es zu spät“ auf fundierte Weise das Szenario eines europaweiten Black Outs beschrieben. Dort nutzten Hacker die Funktionalität der Fernabschaltung dieser Produkte. Die Fernabschaltung ist gesetzlich in §3 Ziffer 8 IMA-VO 2011 für die österreichischen Netzbetreiber vorgeschrieben – daher nimmt sie in den Risikobetrachtungen und folgenden Maßnahmensetzungen eine gewichtige Rolle ein.

7.    Smart Meter und Blackout: Eine reale Gefahr?
Durchaus! Die sicherheitstechnische Betrachtung der in manchen Ländern eingesetzten Smart Meter zeigt hier klare Schwachstellen. Deshalb sollten die notwendigen Vorkehrungen und allfällige Sicherheitsmaßnahmen in jedem Fall getroffen werden.
In Österreich können die Erfahrungen anderer Länder bei der Beschaffung und Installation von Smart Metern einfließen. Dies ist durchaus eine wertvolle Chance, da Gegenmaßnahmen vorab definiert und bei der Planungsarbeit berücksichtigt werden können.

8.    Ausblick: Wie kann sich das Thema „IT-Security“ in Zukunft entwickeln?
Allgemein gesehen, ist die IT eine junge Branche und das Gebiet der „IT-Security“ eine neue Spezialisierung. Erwartungsgemäß wird die Bedeutung von Informationstechnologien weiterhin steigen. Neben der Verbreitung und den an Einfluss gewinnenden IT-Systemen werden jedoch auch neue Angriffsflächen und Bedrohungsmuster durch die verstärkte Vernetzung und Digitalisierung (z.B. IoT und vernetzte Autos, Haushaltsgeräte u.D.) geboten. Das macht eine Absicherung der Systeme in jedem Fall erforderlich.

Die IT-Security-Branche und die agierenden ExpertInnen werden sich in jedem Fall damit messen müssen.