Dr. Stefan Hofbauer, Autor bei te-am.net

Die „International Conference on Advances in Information Technology“ (IAIT2021) fand dieses Jahr erstmals rein virtuell statt. An der dreitägigen Konferenz nahm auch Stefan als IT Security Consultant bei team teil. Er präsentierte die Ergebnisse eines wissenschaftlichen Papers, das er gemeinsam mit Professor Gerald Quirchmayr von der Universität Wien erstellt hat. Dabei ging es um methodische Ansätze und Lessons Learned im Bereich „Krisenmanagement“. Das Know-how dazu hat Stefan als Krisenkoordinator während der COVID-19-Pandemie gewonnen.

Quelle: https://www.sit.kmutt.ac.th/blog/news_and_activities/iait2021/#prettyPhoto

Was sind die Kernaussagen eures wissenschaftlichen Papers?
Unsere Erfahrungen während der COVID-19-Pandemie haben gezeigt, dass Unternehmen bisher meist nur für die kurzfristigen Auswirkungen von Krisen planen, nicht aber für die langfristigen Auswirkungen. Weiters gibt es eine hohe Abhängigkeit der Unternehmen von Drittunternehmen, die Unterstützungsleistungen anbieten. Aber gerade in Krisen ist die Wahrscheinlichkeit hoch, dass Drittunternehmen die Unterstützungsleistungen nur teilweise oder gar nicht anbieten können. Daher ist es notwendig, entsprechende Force-Majeur oder SOC type 2 Klauseln in die Verträge mit Drittunternehmen mit aufzunehmen. In klassischen Business Continuity Management Lebenszyklen fehlt die langfristige Perspektive krisenbezogener Probleme. Ziel ist es, durch Business Continuity Management Methoden der operationellen Stabilität und der operationellen Wiederherstellungsstrategie für alle geschäftskritischen Prozesse und IT-Assets, Krisen erfolgreich zu managen.

Wie können sich Unternehmen am besten auf Krisen vorbereiten?
Durch möglichst realistische und wirtschaftlich relevante Szenarien, die während einer Krisenstabsübung getestet werden, können Krisen effektiv simuliert werden. Etwa im Rahmen einer Übung zur Erhöhung der Widerstandsfähigkeit gegen Cyberkriminalität. Hierbei können die Zusammenarbeit innerhalb der IT-Security-Abteilung, des Krisenstabs und die abteilungsübergreifende Zusammenarbeit geschult und verbessert werden. Den Abschluss einer Krisenstabsübung stellen eine Nachbesprechung und ein Bericht dar, der unter anderem Verbesserungsvorschläge für die Kommunikation und Dokumentation enthält. Durch regelmäßige Audits kann der Reifegrad des Business Continuity Managements eines Unternehmens weiter verbessert werden. Durch Key Performance Indikatoren und Key Risk Indikatoren kann der Reifegrad des Business Continuity Managements eines Unternehmens eingeschätzt werden.

Welche Auswirkungen hat die COVID-19-Pandemie auf den Unternehmensbereich?
Es ist notwendig, sich die Auswirkungen von Ausfällen auf Kunden, Regulatorien, Finanz, MitarbeiterInnen und die Reputation eines Unternehmens über längere Zeiträume anzusehen, da Krisen länger andauern können. Gerade während der COVID-19-Pandemie hat sich die Anzahl an IT-Security-Events drastisch erhöht. Unternehmen sind gefordert, umfangreicheres Monitoring, wie Application Security Monitoring oder Technical State Compliance Monitoring, umzusetzen, sowie durch Data Loss Prevention und Multifactor Authentication Maßnahmen zu setzen, um vor den Angriffen gewappnet zu sein. Der COVID-19-bedingte Trend zum Einsatz von Cloud-Technologien für MitarbeiterInnen an verschiedenen Standorten bringt auch ein neues lukratives Angriffsziel mit sich. Die langfristigen Auswirkungen von Problemen müssen bereits zwischen der Identifikation von Problemen und dem Schutz vor Problemen in Betracht gezogen werden.

Wie kann team im Rahmen von Krisenmanagement und Business Continuity Management unterstützen?
team als Spezialist für den Bereich sicherheitskritische Infrastruktur hat durch ihre ExpertInnen umfangreiche Erfahrung im Bereich Business Continuity Management und Krisenmanagement. Damit wird es Unternehmen ermöglicht, geschäftskritische Prozesse auch während einer Krise am Laufen zu halten. Interessant ist dies sowohl für Unternehmen, die bereits Business Continuity Management einsetzen und verbessern möchten, als auch für Unternehmen, die Business Continuity Management bis heute noch nicht einsetzen. team unterstützt auch bei Security-Awareness-Maßnahmen, dem Risikomanagement, der Einführung eines SIEM oder dem Aufbau eines SOC.

Als Senior Consultant IT-Security ist Stefan als Fachexperte tätig und auch mit der Erstellung von Ausschreibungsunterlagen für IT-Infrastruktur-Projekte betraut. IT-Security findet er nicht nur spannend, sondern unbedingt notwendig. Warum das Thema gerade in der aktuellen Zeit an Bedeutung gewinnt, erzählt er im aktuellen Blog.

Wie haben sich die Anforderungen für „IT-Security“ während der Pandemie verändert?

Durch die Pandemie kommt es vermehrt zu IT-Security-Angriffen, vor allem durch die große Anzahl an MitarbeiterInnen, die im Homeoffice arbeiten. Dabei wird durch Phishing versucht, an personenbezogene Informationen zu gelangen und diese missbräuchlich zu verwenden.

Deutlich ersichtlich ist auch eine Vermischung von Privatem und Beruflichen – so wird der Faktor Mensch anfälliger für Bedrohungen im Bereich IT-Security. Steigende IT-Security-Kosten machen es für viele Firmen notwendig, diese Kosten und den daraus ergebenden Nutzen zu veranschaulichen. Dabei helfen neue Ansätze, wie Zero-Trust IT-Security-Strategien, um einen sicheren Betrieb der IT-Assets durch Remote Working, Digitalisierung und die zunehmende Verbreitung der Daten sicherzustellen.

Worauf müssen Firmen und EndnutzerInnen insbesondere Acht geben, um gut geschützt zu sein?

Gerade jetzt müssen Firmen auf der einen Seite die zur Verfügung gestellten Arbeitsgeräte (Laptops, Mobilgeräte) absichern und ihre MitarbeiterInnen auf Sicherheitsgefahren schulen und sensibilisieren. Durch gezielte Security-Awareness-Schulungen muss das richtige Bewusstsein geschaffen werden, um Herausforderungen bestmöglich zu meistern. Dabei soll es einen Mix geben aus Vortrag und praktischen Beispielen, wie zum Beispiel ein „infizierter USB-Stick“, der im Büro verloren geht. Ebenso dürfen keine privaten Geräte verwendet werden, um auf Firmendaten zuzugreifen, da diese vermutlich nicht so gut abgesichert sind wie Firmengeräte. Durch den Einsatz sogenannter Cyber Threat Intelligence (CTI) Systeme, können sich Unternehmen vorbereiten, ihre kritischen IT-Assets vor unbekannten Bedrohungen zu schützen.

Welche Empfehlungen gibt es, um die Netzsicherheit langfristig sicherzustellen?

Für mich ist die Einhaltung des NIS-Gesetzes eine wirksame Methode, um die Netzsicherheit langfristig sicherzustellen. Diese Empfehlungen sind nicht nur den Betreibern kritischer Infrastrukturen ans Herz zu legen, sondern jedem Unternehmen – unabhängig von der Firmengröße -sowie Einzelpersonen. Die zweite Empfehlung liegt in einem funktionierenden Business Continuity Management in den Firmen sowie spezialisiertem Personal, das sich mit Krisenmanagement, Risikomanagement und IT-Security beschäftigt. Die dritte und letzte Empfehlung liegt in der Verschlüsselung der Unternehmensdaten, auch gerade dann, wenn diese Daten bei einem Cloud Provider liegen.

Warum ist team der Spezialist für „IT-Security“?

team kann bereits auf einige IT-Security-Projekte zurückblicken und ist dank der Ausbildung und Expertise ihrer MitarbeiterInnen immer am letzten Stand. IT-Security wird bei team ganzheitlich gesehen und von verschiedenen Blickwinkeln aus kritisch betrachtet. Ebenso sind wir der Meinung, dass IT-Security ein kontinuierlicher Prozess ist, den es gilt, regelmäßig durch technische und organisatorische Maßnahmen weiter zu verbessern. Durch das IT-Security Know-how unserer MitarbeiterInnen, gepaart mit Erfahrungen aus Projekten kritischer Infrastrukturen, sieht sich team bestmöglich für neue Herausforderungen im Bereich IT-Security gerüstet.

Fachvortrag@IAIT2021

Cybersecurity: Chancen und Risiken für Unternehmen