IT Security Archive

Kritische Infrastrukturen im Fokus

7. Juli 2022 von Dr. Norbert Baumgartner

Kritische Infrastrukturen wie Verkehrsträger oder Energie- und Telekommunikationsnetze sind essenziell für das Aufrechterhalten unserer Gesellschaft. Deshalb erfordern solche Infrastrukturen einen erhöhten Schutzbedarf mit dem Ziel die Resilienz gegenüber Ausfällen zu verbessern, insbesondere im Falle von Angriffen auf die Infrastrukturen. Dieser Einschätzung wurde mit der europäischen NIS-Richtlinie 2016/1148 bzw. deren nationalen Umsetzung in Form des Netz- und Informationssystemsicherheitsgesetz (NISG) Rechnung getragen.

NISG als Motor

Das NISG hat in den vergangenen Jahren bei den betroffenen Betreibern kritischer Infrastrukturen einen intensiven Erhebungs- und Verbesserungsprozess in Gang gesetzt. Informationssicherheitsaspekte stehen zwar oft im Vordergrund, sind aber nicht die einzigen Faktoren, die für ein erfolgreiches Audit betrachtet werden müssen. Schon alleinig die Optimierung des Asset Managements in Bezug auf die Anlagen und Systeme einer kritischen Infrastruktur ist ein wesentlicher, qualitätssteigender Schritt.

Aufgrund der Kombination aus Branchenwissen und Fachkompetenz in der Informationssicherheit begleitet die team Kunden aus verschiedenen Branchen auf dem Weg zum erfolgreichen NIS Audit. Der tiefe Einblick in die Anlagen- und Systemlandschaft und das Verständnis für die Herausforderungen der Betreiber sind hierbei Motivation und Schlüssel zum Erfolg.

Informationssicherheit wird bei der team dementsprechend ganzheitlich und auch nachhaltig gesehen. Ziel ist nicht nur der Nachweis, dass die Anforderungen des NISG erfüllt sind. Die Investitionen in die NIS-Konformität sind dann zielführend, wenn ein kontinuierlicher Prozess etabliert wird, aus dem regelmäßig ein realistisches Lagebild und treffsichere Maßnahmen hervorgehen.

Betreiber kritischer Infrastrukturen und die teamExperten freuen sich darauf dieses Ziel gemeinsam zu erreichen.

Das team BYOD-Konzept

17. Juni 202230. Mai 2022 von Andreas Müller

‚Bring your own Device‘ kurz BYOD ist im Jahr 2022 kein neues Konzept mehr, allerdings ist die Umsetzung und Implementierung in vielen Unternehmen aufgrund strenger Sicherheits- oder Firmen-Policy bis dato kaum präsent. In Zeiten von COVID-19 waren viele Unternehmen gefordert, in Sachen „mobile working“ einen raschen Entwicklungsschritt zu gehen. BYOD ist ein weiterer Schritt zur Arbeitsplatzflexibilisierung.

Was bedeutet dieses Konzept nun?

Dem Mitarbeiter wird es ermöglicht, sein eigenes Endgerät – egal ob Handy, Laptop oder Tablet für seine Arbeit zu nutzen. Dies erlaubt es dem Mitarbeiter, sich in seiner gewohnten IT-Welt auch am Arbeitsplatz zu bewegen.

Wichtig ist jedoch: es gibt derzeit keine gesetzliche Grundlage, die Mitarbeitern gestattet, ohne Rücksprache mit dem Arbeitgeber, eigene Geräte zu verwenden – zurzeit basiert BYOD auf der Freiwilligkeit des Arbeitgebers.

team bietet in den neuen Büroräumlichkeiten am Austria Campus 6, beim Praterstern in Wien, bereits heute eine moderne Arbeitsumgebung mit ergonomischen Arbeitsplätzen. An ergonomischen Arbeitsplätzen sowie in bunten Besprechungsboxen mit Curved Screen und Dockingstation, können alle MitarbeiterInnen Online-Meetings ungestört und nun dank BYOD-Konzept, mit jedem Endgerät durchführen.

Die Voraussetzungen hierfür umfassen neben einer eigenen IT-Sicherheits-Policy, die für die rechtliche Absicherung beider Seiten erforderlich ist, natürlich auch ein hohes Maß an gegenseitigem Vertrauen. Letzteres stellt in dem sehr kollegialen Arbeitsumfeld mit flachen Hierarchien, kurzen Kommunikationswegen und Du-Kultur bei team, keine große Herausforderung dar.

Fotorechte © offora.at, florianschwarz.at

Mobile World Congress 2022

5. April 20225. April 2022 von Dr. Martin Mueller

Nach zwei Jahren Zwangspause wurde dieses Jahr wieder der Mobile World Congress in Barcelona abgehalten. Trotz einer etwas kleineren Ausführung als noch 2019 ist der Mobile World Congress weiterhin eine der größten Mobilfunkmessen weltweit – und team war mit dabei.

An insgesamt vier Tagen, vom 28. Februar bis zum 03. März, besuchten insgesamt über 60.000 Besucher das Messegelände und konnten die neusten Produkte und Ideen von knapp 2.000 Ausstellern bestaunen. Neben den Industrie-Schwergewichten wie AWS, Samsung, Nokia, Huawei oder Qualcomm war auch ein großer StartUp Bereich zu finden. Zu den wohl beeindruckendsten Ausstellungsstücken zählte eine VR-Achterbahn, ein F1 Racer Simulator und autonome „Robot-Dogs“ und Autos.

Neben den Ausstellungsständen und insgesamt 46 Länder-Pavillons war darüber hinaus ein facettenreiches Angebot an visionären Fachvorträgen zusammengestellt, das zusammengenommen insgesamt gut 350 Stunden Vortragszeit fasste. Vorteilhaft war hier insbesondere, dass viele Vorträge in hybrider Form abgehalten wurden, und somit auch im Nachgang per Streaming verfügbar waren, was die Qual der Wahl bei parallel stattfindenden Vorträgen erleichterte.

Die Vorträge waren in insgesamt sechs breit gefächerte Themenfelder gruppiert:

5G Connectivity
AI Advance
CloudNet
FinTech
Internet of Everything
Tech Horizon

Selbstverständlich waren hier aus Sicht der team einige Vorträge dabei, die für die relevanten Branchen wertvolle Einblicke in die neuesten Entwicklungen und Trends boten. Hierbei insbesondere herauszuheben sind ein Vortrag zur zukünftigen Spektrum-Nutzung für 5G (und darüber hinaus), ein Ausblick auf 6G und die potenziellen Anwendungen und Herausforderungen und eine Diskussionsrunde zu Digital Twins als Spiegelbild der realen Welt und dem sich daraus ergebenden Optimierungspotenzial.

Nach vier intensiven Messentagen gefüllt von Vorträgen und Staunen über „cutting edge“ Innovationen bleibt dann nur noch die Frage welche Trends sich durchsetzen werden, und welche Ausstellungsstücke sich bald in unser aller Alltag finden werden.

team ist Partner der BBG

8. März 2022 von Dr. Norbert Baumgartner

Partner-Siegel als Qualitätssiegel

Das Partner-Siegel der BBG bestätigt, dass team aktiv einen partnerschaftlichen Vertrag mit der Bundesbeschaffung GmbH erfüllt. Als einer der Bestbieter für die verschiedensten Rahmenvereinbarungen entspricht team damit den höchsten Qualitätsstandards für die Umsetzung Ihres digitalen Change-Vorhabens. Die Bundesbeschaffung GmbH (BBG) bietet der öffentlichen Hand, beispielsweise Bundesministerien, Länder, Städte und Gemeinden, aber auch ausgegliederte Unternehmen, Hochschulen und Einrichtungen im Gesundheitsbereich als Dienstleister eine Einkaufsplattform.

Gemeinsam für eine digitale Zukunft!

team begleitet öffentliche Auftraggeber proaktiv bei der Umsetzung ihrer digitalen Transformationsprozesse. Von der Analyse des Ist-Zustands über die Entwicklung von Optimierungs- und Umsetzungsvorschlägen zum Einsatz digitaler Mittel bis hin zur Qualitätssicherung ist team der Lösungspartner für den gesamten Projektlebenszyklus. Unser Blick richtet sich auf die technischen Informations- und Kommunikationssysteme in einem zumeist sicherheitskritischen Umfeld.

Unsere Berater kombinieren technische Expertise und Projektmanagementerfahrung auf der Basis internationaler Standards. Damit überblicken wir komplexe technische Systeme und behalten, trotz Spezialisierung auf einzelne Teilbereiche, immer das gesamte Projekt im Auge. Unser Ziel sind klare und konsequente Planungs- und Umsetzungskonzepte, die schlanke Lösungen ermöglichen.

Wir bieten unsere Leistungen in folgenden Rahmenvereinbarungen an:

Beratungsdienstleistungen (GZ 5105.03606), Los 7 „Digitale Transformation“
IT-Dienstleistungen 2021 (GZ 3602.03479), Los 3 „IT-Prozess- und Architekturberatung“
Beratungsleistungen SiB-Telefonie (GZ 2400.00865)
Cybersecurity-Dienstleistungen (GZ 3602.03544) als Sub-Auftragnehmer von Kooperationspartner Deloitte

Die Bestellung ist verpflichtend laut Kaskade durchzuführen und über den e-Shop der BBG möglich.

Fachvortrag@IAIT2021

18. August 202126. Juli 2021 von Dr. Stefan Hofbauer

Die „International Conference on Advances in Information Technology“ (IAIT2021) fand dieses Jahr erstmals rein virtuell statt. An der dreitägigen Konferenz nahm auch Stefan als IT Security Consultant bei team teil. Er präsentierte die Ergebnisse eines wissenschaftlichen Papers, das er gemeinsam mit Professor Gerald Quirchmayr von der Universität Wien erstellt hat. Dabei ging es um methodische Ansätze und Lessons Learned im Bereich „Krisenmanagement“. Das Know-how dazu hat Stefan als Krisenkoordinator während der COVID-19-Pandemie gewonnen.

Quelle: https://www.sit.kmutt.ac.th/blog/news_and_activities/iait2021/#prettyPhoto

Was sind die Kernaussagen eures wissenschaftlichen Papers?
Unsere Erfahrungen während der COVID-19-Pandemie haben gezeigt, dass Unternehmen bisher meist nur für die kurzfristigen Auswirkungen von Krisen planen, nicht aber für die langfristigen Auswirkungen. Weiters gibt es eine hohe Abhängigkeit der Unternehmen von Drittunternehmen, die Unterstützungsleistungen anbieten. Aber gerade in Krisen ist die Wahrscheinlichkeit hoch, dass Drittunternehmen die Unterstützungsleistungen nur teilweise oder gar nicht anbieten können. Daher ist es notwendig, entsprechende Force-Majeur oder SOC type 2 Klauseln in die Verträge mit Drittunternehmen mit aufzunehmen. In klassischen Business Continuity Management Lebenszyklen fehlt die langfristige Perspektive krisenbezogener Probleme. Ziel ist es, durch Business Continuity Management Methoden der operationellen Stabilität und der operationellen Wiederherstellungsstrategie für alle geschäftskritischen Prozesse und IT-Assets, Krisen erfolgreich zu managen.

Wie können sich Unternehmen am besten auf Krisen vorbereiten?
Durch möglichst realistische und wirtschaftlich relevante Szenarien, die während einer Krisenstabsübung getestet werden, können Krisen effektiv simuliert werden. Etwa im Rahmen einer Übung zur Erhöhung der Widerstandsfähigkeit gegen Cyberkriminalität. Hierbei können die Zusammenarbeit innerhalb der IT-Security-Abteilung, des Krisenstabs und die abteilungsübergreifende Zusammenarbeit geschult und verbessert werden. Den Abschluss einer Krisenstabsübung stellen eine Nachbesprechung und ein Bericht dar, der unter anderem Verbesserungsvorschläge für die Kommunikation und Dokumentation enthält. Durch regelmäßige Audits kann der Reifegrad des Business Continuity Managements eines Unternehmens weiter verbessert werden. Durch Key Performance Indikatoren und Key Risk Indikatoren kann der Reifegrad des Business Continuity Managements eines Unternehmens eingeschätzt werden.

Welche Auswirkungen hat die COVID-19-Pandemie auf den Unternehmensbereich?
Es ist notwendig, sich die Auswirkungen von Ausfällen auf Kunden, Regulatorien, Finanz, MitarbeiterInnen und die Reputation eines Unternehmens über längere Zeiträume anzusehen, da Krisen länger andauern können. Gerade während der COVID-19-Pandemie hat sich die Anzahl an IT-Security-Events drastisch erhöht. Unternehmen sind gefordert, umfangreicheres Monitoring, wie Application Security Monitoring oder Technical State Compliance Monitoring, umzusetzen, sowie durch Data Loss Prevention und Multifactor Authentication Maßnahmen zu setzen, um vor den Angriffen gewappnet zu sein. Der COVID-19-bedingte Trend zum Einsatz von Cloud-Technologien für MitarbeiterInnen an verschiedenen Standorten bringt auch ein neues lukratives Angriffsziel mit sich. Die langfristigen Auswirkungen von Problemen müssen bereits zwischen der Identifikation von Problemen und dem Schutz vor Problemen in Betracht gezogen werden.

Wie kann team im Rahmen von Krisenmanagement und Business Continuity Management unterstützen?
team als Spezialist für den Bereich sicherheitskritische Infrastruktur hat durch ihre ExpertInnen umfangreiche Erfahrung im Bereich Business Continuity Management und Krisenmanagement. Damit wird es Unternehmen ermöglicht, geschäftskritische Prozesse auch während einer Krise am Laufen zu halten. Interessant ist dies sowohl für Unternehmen, die bereits Business Continuity Management einsetzen und verbessern möchten, als auch für Unternehmen, die Business Continuity Management bis heute noch nicht einsetzen. team unterstützt auch bei Security-Awareness-Maßnahmen, dem Risikomanagement, der Einführung eines SIEM oder dem Aufbau eines SOC.

Cybersecurity: Chancen und Risiken für Unternehmen

22. Juli 20223. März 2021 von Dr. Stefan Hofbauer

Als Senior Consultant IT-Security ist Stefan als Fachexperte tätig und auch mit der Erstellung von Ausschreibungsunterlagen für IT-Infrastruktur-Projekte betraut. IT-Security findet er nicht nur spannend, sondern unbedingt notwendig. Warum das Thema gerade in der aktuellen Zeit an Bedeutung gewinnt, erzählt er im aktuellen Blog.

Wie haben sich die Anforderungen für „IT-Security“ während der Pandemie verändert?

Durch die Pandemie kommt es vermehrt zu IT-Security-Angriffen, vor allem durch die große Anzahl an MitarbeiterInnen, die im Homeoffice arbeiten. Dabei wird durch Phishing versucht, an personenbezogene Informationen zu gelangen und diese missbräuchlich zu verwenden.

Deutlich ersichtlich ist auch eine Vermischung von Privatem und Beruflichen – so wird der Faktor Mensch anfälliger für Bedrohungen im Bereich IT-Security. Steigende IT-Security-Kosten machen es für viele Firmen notwendig, diese Kosten und den daraus ergebenden Nutzen zu veranschaulichen. Dabei helfen neue Ansätze, wie Zero-Trust IT-Security-Strategien, um einen sicheren Betrieb der IT-Assets durch Remote Working, Digitalisierung und die zunehmende Verbreitung der Daten sicherzustellen.

Worauf müssen Firmen und EndnutzerInnen insbesondere Acht geben, um gut geschützt zu sein?

Gerade jetzt müssen Firmen auf der einen Seite die zur Verfügung gestellten Arbeitsgeräte (Laptops, Mobilgeräte) absichern und ihre MitarbeiterInnen auf Sicherheitsgefahren schulen und sensibilisieren. Durch gezielte Security-Awareness-Schulungen muss das richtige Bewusstsein geschaffen werden, um Herausforderungen bestmöglich zu meistern. Dabei soll es einen Mix geben aus Vortrag und praktischen Beispielen, wie zum Beispiel ein „infizierter USB-Stick“, der im Büro verloren geht. Ebenso dürfen keine privaten Geräte verwendet werden, um auf Firmendaten zuzugreifen, da diese vermutlich nicht so gut abgesichert sind wie Firmengeräte. Durch den Einsatz sogenannter Cyber Threat Intelligence (CTI) Systeme, können sich Unternehmen vorbereiten, ihre kritischen IT-Assets vor unbekannten Bedrohungen zu schützen.

Welche Empfehlungen gibt es, um die Netzsicherheit langfristig sicherzustellen?

Für mich ist die Einhaltung des NIS-Gesetzes eine wirksame Methode, um die Netzsicherheit langfristig sicherzustellen. Diese Empfehlungen sind nicht nur den Betreibern kritischer Infrastrukturen ans Herz zu legen, sondern jedem Unternehmen – unabhängig von der Firmengröße -sowie Einzelpersonen. Die zweite Empfehlung liegt in einem funktionierenden Business Continuity Management in den Firmen sowie spezialisiertem Personal, das sich mit Krisenmanagement, Risikomanagement und IT-Security beschäftigt. Die dritte und letzte Empfehlung liegt in der Verschlüsselung der Unternehmensdaten, auch gerade dann, wenn diese Daten bei einem Cloud Provider liegen.

Warum ist team der Spezialist für „IT-Security“?

team kann bereits auf einige IT-Security-Projekte zurückblicken und ist dank der Ausbildung und Expertise ihrer MitarbeiterInnen immer am letzten Stand. IT-Security wird bei team ganzheitlich gesehen und von verschiedenen Blickwinkeln aus kritisch betrachtet. Ebenso sind wir der Meinung, dass IT-Security ein kontinuierlicher Prozess ist, den es gilt, regelmäßig durch technische und organisatorische Maßnahmen weiter zu verbessern. Durch das IT-Security Know-how unserer MitarbeiterInnen, gepaart mit Erfahrungen aus Projekten kritischer Infrastrukturen, sieht sich team bestmöglich für neue Herausforderungen im Bereich IT-Security gerüstet.

„Cybersecurity ist allgegenwärtig“

11. August 20211. September 2020 von Rudolf Kubicz

Als IT Consultant ist Rudolf für das Projektmanagement, Geoinformationssysteme (sogenannte GIS) und Requirements Engineering verantwortlich. Zu einem der spannendsten Themen im IT-Sektor zählt für ihn „Cybersecurity“. Was ihn an seiner Arbeit begeistert, erzählt er im aktuellen Blog.

Du bist bereits einige Jahre im IT-Sektor tätig. Wie hat sich die Branche deiner Meinung nach verändert?
In den letzten Jahren ist unter anderem das Thema „Cybersecurity“ vermehrt in den Fokus der Öffentlichkeit gerückt. Egal, ob gefundene Schwachstellen in bekannten Betriebssystemen, erfolgreich abgewehrte Cyberangriffe oder Debatten zum Thema Datenschutz – „Cybersecurity“ ist allgegenwärtig! Für mich ist dieser Bereich neben der Geoinformatik einer der spannendsten innerhalb des IT-Sektors.

Was ist dir betreffend „Cybersecurity“ wichtig?
Ob Softwareentwicklung, Entwicklung von Systemarchitekturen oder interne Unternehmensprozesse – „Cybersecurity“ muss als fester Bestandteil bereits bei der Entwicklung beachtet und vom Unternehmen gelebt werden! Ebenfalls sollte klar sein, dass kein System vollständig vor Angriffen geschützt werden kann. Daher müssen entsprechende Notfallmaßnahmen immer auch im Vorhinein getroffen werden. Das gilt auch für den sensiblen Bereich der Geoinformationssysteme (GIS).

Welche Beispiele kannst du für solche Notfallmaßnahmen nennen?
Beispiele hierfür sind der Aufbau eines entsprechenden Asset-Managements und die frühzeitige Betrachtung möglicher Bedrohungen, Risiken und zugehöriger Maßnahmen. Tritt eines dieser Szenarien ein, kann im Bedarfsfall rasch reagiert werden. Wesentlich ist jedoch, dass es keine Pauschallösungen gibt. Daher müssen wir Notfallmaßnahmen immer bedürfnisgerecht planen und umsetzen.

Was begeistert dich an deiner teamArbeit?
Für mich sind insbesondere die abwechslungsreichen Aufgaben und der enge Kundenkontakt spannend. Täglich vor neue Herausforderungen gestellt zu werden und dabei fachlich als auch persönlich zu wachsen – das sind für mich wichtige Eckpfeiler, die meinen Arbeitsalltag bei team ausmachen!

team@Audit Competence Conference 2020

3. März 202119. Februar 2020 von Michael Schafferer

Zum 10. Mal fand heuer die „Audit Competence Conference“ von 23.- 24. Jänner 2020 in Wien statt.
Veranstaltet wurde die zweitägige Konferenz vom Österreichischen Institut für interne Revision (IR). team war vor Ort dabei, um mehr über aktuelle Entwicklungen zu erfahren und den branchenübergreifenden Dialog zu fördern.

„Audit Competence Conference“ als etablierte Fachtagung
Das „Österreichische Institut für interne Revision“ hat sich als Plattform zur Diskussion aktueller branchenrelevanter Themen für Revisorinnen und Revisoren in Österreich etabliert. Das Institut verfolgt das Ziel, die Interne Revision in Österreich zu fördern und weiterzuentwickeln. Dies wird ermöglicht durch professionelle Aus- und Weiterbildungen, regelmäßige internationale und nationale Treffen sowie aktuelle Informationen über Grundsätze und Methoden zum Thema.
Dr. Schafferer als team-Experte im Bereich IT-Security, Datenschutz und Datensicherheit besuchte die „Audit Competence Conference“, um sich über aktuelle Branchentrends zu informieren und auszutauschen.

Perspektivenwechsel fördert Verständnis
Die team Mitarbeiterinnen und Mitarbeiter unterstützen bei ihrer Tätigkeit konforme Umsetzungen, die auch der Internen Revision unterliegen. Der Perspektivenwechsel ermöglicht daher ein beiderseitiges Verständnis für die gesetzlichen Rahmenbedingungen und die Bedürfnisse der Kundinnen und Kunden bei der Internen Revision. So werden bestmögliche Ergebnisse über den gesamten Revisionsprozess hinweg erzielt.

Von der IT-Sicherheit zum Risikomanagement
Die Vorträge der diesjährigen Konferenz legten einen Fokus auf das Thema „IT-Sicherheit“ in der Internen Revision. Dies wird begründet durch die Ende 2018 in Kraft getretene NISG (Netz- und Informationssystemsicherheitsgesetz): Unternehmen, die kritische Dienste im Staat anbieten, sind angehalten, verstärkt Maßnahmen für die Sicherheit ihrer IT-Infrastruktur zu setzen.
Eine wesentliche Rolle spielten auch die Themen „Risikomanagement“ und Standards im Bereich „Sicherheits- und Qualitätsmanagement“. So wurden auch etablierte Modelle der Internen Revision kritisch hinterfragt. Erwartungsgemäß werden die Integration und Harmonisierung sowie die Weiterentwicklung bestehender Instrumente zukünftig an Bedeutung gewinnen.

Vom Berater zum Bindeglied
Die team Mitarbeiterinnen und Mitarbeiter sind nicht nur Berater im Prozess der Internen Revision. Sie nehmen vielmehr die Rolle eines Brückenbauers ein: Sei es zwischen Projekt und externem Auftragnehmer, aber auch zwischen unternehmensinternen Stakeholdern, denen auch die Interne Revision angehört.

„Tag der Computersicherheit“ am 30. November

3. März 202128. November 2019 von Michael Schafferer

Acht Fragen, acht Antworten.
Am heutigen „Tag der Computersicherheit“ widmet sich unser Blog dem Thema „IT-Security“.
Unser team Datenschutzexperte Dr. Michael Schafferer arbeitet zu diesem spannenden Bereich und hat die wichtigsten Fragen vorab mit uns geklärt.

1. Was verstehen ExpertInnen unter dem Begriff „Computersicherheit“?
Der Begriff der „Computersicherheit“ hat vorrangig einen geschichtlichen Charakter. Zu Beginn der Nutzung von Personal Computern (PCs) verstand man darunter, die Hardware und Software für sich funktional und im weiteren Zusammenspiel abzusichern.
Heute jedoch haben sich die Schwerpunkte gewandelt und der Gegenstand hat sich ausdifferenziert. So wird mittlerweile in diesem Bereich von Spezialisierungen und Abgrenzungen im Sinne von IT-Security, OT-Security und Safety, Informationssicherheit, Datenschutz, u.D. gesprochen. Mein Tätigkeitsbereich erstreckt sich insbesondere im Bereich „IT-Security“.

2. Wie haben sich die Anforderungen an IT-Security in den letzten Jahren geändert?
Die fortschreitende Digitalisierung ist eine der größten Herausforderungen unserer heutigen Gesellschaft. Aus meiner Sicht – und vermutlich der vieler ExpertInnen – gehen damit die Vernetzung und teilweise Öffnung von Systemlandschaften einher.
Dadurch ergeben sich völlig andere Bedrohungsszenarien und Angriffsflächen: Immer stärker imminente Komplexitäten und Abhängigkeiten münden in den Verlust der Verwaltbarkeit und Überschaubarkeit. Wesentlich ist daher ein vorausschauender Ansatz, um im Ernstfall bestens gerüstet zu sein.

3. Welchen Einfluss hat die DSGVO, die mit 25. Mai 2016 in Kraft getreten ist, auf das Thema „IT-Security“?
Die DSGVO hat meiner Meinung nach in Österreich – und auch im restlichen EU-Raum – dazu geführt, dass das Thema „IT-Security“ verstärkt bei Entscheidungsprozessen berücksichtigt wird.
Genau genommen, wurden österreichischen Unternehmen bereits im Vorfeld ähnliche Anforderungen zur europäischen DSGVO gestellt. Dies zeigt ein Vergleich zwischen dem österreichischen Datenschutzgesetz (DSG) mit den Anforderungen gemäß der Novellierung der DSGVO. Themen wie Datenschutz, Betroffenenrechte, u.D. wurden dort bereits behandelt.

4. Welche Mindestanforderungen sollten Unternehmen setzen, um als „sicher“ zu gelten?
Die Branche und der Markt im Bereich „IT-Security“ haben sich meiner Meinung nach enorm entwickelt und bieten eine weitreichende Bandbreite an Möglichkeiten, sich gegen spezifische Bedrohungen zu schützen. Neben der Koexistenz verschiedener Methoden, Standards, Software, Hardware, Zertifizierungen usw., ist es jedoch von Nöten, die jeweiligen Strategien an die gesetzten Unternehmensziele anzupassen.
Daher kann ich nur mit einer Mindestanforderung als Antwort dienen: sich als Unternehmen mit dem Thema proaktiv auseinanderzusetzen, um sicher zu sein.

5. Welchen Beitrag leistet team zum Thema „IT-Security“?
Aufgrund der Tätigkeitsbereiche unserer KundInnen zeigt sich, dass das Thema „IT-Security“ Einfluss auf die Bereiche Service, Dienstleistungen oder auch Infrastrukturen hat. Unsere KundInnen, PartnerInnen und Unternehmen müssen sich daher dem Thema und den damit einhergehenden Herausforderungen stellen.
Wir unterstützen sie daher bei der Beratung, Gestaltung und Umsetzung sicherer IT-Systeme und leisten damit einen gesellschaftlichen Beitrag zum Thema „IT-Sicherheit“.
Ich bin derzeit damit beschäftigt, österreichische Stromnetzbetreiber bei der Smart Meter Einführung dahingehend zu unterstützen.

6. Welchen Zusammenhang gibt es zwischen IT-Security und intelligenten Messsystemen, sogenannten Smart Metern?
Weltweit gesehen, sind die Smart Meter Stromzähler schon seit etlichen Jahren im Einsatz. Es liegen damit bereits fundierte Erkenntnisse zu den Themen „Sicherheit“ und „potentielle Bedrohungen“ dieser durchaus komplexen Systemlandschaft vor.
Mark Elsberg hat in seinem Buch „Black Out – Morgen ist es zu spät“ auf fundierte Weise das Szenario eines europaweiten Black Outs beschrieben. Dort nutzten Hacker die Funktionalität der Fernabschaltung dieser Produkte. Die Fernabschaltung ist gesetzlich in §3 Ziffer 8 IMA-VO 2011 für die österreichischen Netzbetreiber vorgeschrieben – daher nimmt sie in den Risikobetrachtungen und folgenden Maßnahmensetzungen eine gewichtige Rolle ein.

7. Smart Meter und Blackout: Eine reale Gefahr?
Durchaus! Die sicherheitstechnische Betrachtung der in manchen Ländern eingesetzten Smart Meter zeigt hier klare Schwachstellen. Deshalb sollten die notwendigen Vorkehrungen und allfällige Sicherheitsmaßnahmen in jedem Fall getroffen werden.
In Österreich können die Erfahrungen anderer Länder bei der Beschaffung und Installation von Smart Metern einfließen. Dies ist durchaus eine wertvolle Chance, da Gegenmaßnahmen vorab definiert und bei der Planungsarbeit berücksichtigt werden können.

8. Ausblick: Wie kann sich das Thema „IT-Security“ in Zukunft entwickeln?
Allgemein gesehen, ist die IT eine junge Branche und das Gebiet der „IT-Security“ eine neue Spezialisierung. Erwartungsgemäß wird die Bedeutung von Informationstechnologien weiterhin steigen. Neben der Verbreitung und den an Einfluss gewinnenden IT-Systemen werden jedoch auch neue Angriffsflächen und Bedrohungsmuster durch die verstärkte Vernetzung und Digitalisierung (z.B. IoT und vernetzte Autos, Haushaltsgeräte u.D.) geboten. Das macht eine Absicherung der Systeme in jedem Fall erforderlich.

Die IT-Security-Branche und die agierenden ExpertInnen werden sich in jedem Fall damit messen müssen.