Fachvortrag@IAIT2021

Die „International Conference on Advances in Information Technology“ (IAIT2021) fand dieses Jahr erstmals rein virtuell statt. An der dreitägigen Konferenz nahm auch Stefan als IT Security Consultant bei team teil. Er präsentierte die Ergebnisse eines wissenschaftlichen Papers, das er gemeinsam mit Professor Gerald Quirchmayr von der Universität Wien erstellt hat. Dabei ging es um methodische Ansätze und Lessons Learned im Bereich „Krisenmanagement“. Das Know-how dazu hat Stefan als Krisenkoordinator während der COVID-19-Pandemie gewonnen.

Quelle: https://www.sit.kmutt.ac.th/blog/news_and_activities/iait2021/#prettyPhoto

Was sind die Kernaussagen eures wissenschaftlichen Papers?
Unsere Erfahrungen während der COVID-19-Pandemie haben gezeigt, dass Unternehmen bisher meist nur für die kurzfristigen Auswirkungen von Krisen planen, nicht aber für die langfristigen Auswirkungen. Weiters gibt es eine hohe Abhängigkeit der Unternehmen von Drittunternehmen, die Unterstützungsleistungen anbieten. Aber gerade in Krisen ist die Wahrscheinlichkeit hoch, dass Drittunternehmen die Unterstützungsleistungen nur teilweise oder gar nicht anbieten können. Daher ist es notwendig, entsprechende Force-Majeur oder SOC type 2 Klauseln in die Verträge mit Drittunternehmen mit aufzunehmen. In klassischen Business Continuity Management Lebenszyklen fehlt die langfristige Perspektive krisenbezogener Probleme. Ziel ist es, durch Business Continuity Management Methoden der operationellen Stabilität und der operationellen Wiederherstellungsstrategie für alle geschäftskritischen Prozesse und IT-Assets, Krisen erfolgreich zu managen.

Wie können sich Unternehmen am besten auf Krisen vorbereiten?
Durch möglichst realistische und wirtschaftlich relevante Szenarien, die während einer Krisenstabsübung getestet werden, können Krisen effektiv simuliert werden. Etwa im Rahmen einer Übung zur Erhöhung der Widerstandsfähigkeit gegen Cyberkriminalität. Hierbei können die Zusammenarbeit innerhalb der IT-Security-Abteilung, des Krisenstabs und die abteilungsübergreifende Zusammenarbeit geschult und verbessert werden. Den Abschluss einer Krisenstabsübung stellen eine Nachbesprechung und ein Bericht dar, der unter anderem Verbesserungsvorschläge für die Kommunikation und Dokumentation enthält. Durch regelmäßige Audits kann der Reifegrad des Business Continuity Managements eines Unternehmens weiter verbessert werden. Durch Key Performance Indikatoren und Key Risk Indikatoren kann der Reifegrad des Business Continuity Managements eines Unternehmens eingeschätzt werden.

Welche Auswirkungen hat die COVID-19-Pandemie auf den Unternehmensbereich?
Es ist notwendig, sich die Auswirkungen von Ausfällen auf Kunden, Regulatorien, Finanz, MitarbeiterInnen und die Reputation eines Unternehmens über längere Zeiträume anzusehen, da Krisen länger andauern können. Gerade während der COVID-19-Pandemie hat sich die Anzahl an IT-Security-Events drastisch erhöht. Unternehmen sind gefordert, umfangreicheres Monitoring, wie Application Security Monitoring oder Technical State Compliance Monitoring, umzusetzen, sowie durch Data Loss Prevention und Multifactor Authentication Maßnahmen zu setzen, um vor den Angriffen gewappnet zu sein. Der COVID-19-bedingte Trend zum Einsatz von Cloud-Technologien für MitarbeiterInnen an verschiedenen Standorten bringt auch ein neues lukratives Angriffsziel mit sich. Die langfristigen Auswirkungen von Problemen müssen bereits zwischen der Identifikation von Problemen und dem Schutz vor Problemen in Betracht gezogen werden.

Wie kann team im Rahmen von Krisenmanagement und Business Continuity Management unterstützen?
team als Spezialist für den Bereich sicherheitskritische Infrastruktur hat durch ihre ExpertInnen umfangreiche Erfahrung im Bereich Business Continuity Management und Krisenmanagement. Damit wird es Unternehmen ermöglicht, geschäftskritische Prozesse auch während einer Krise am Laufen zu halten. Interessant ist dies sowohl für Unternehmen, die bereits Business Continuity Management einsetzen und verbessern möchten, als auch für Unternehmen, die Business Continuity Management bis heute noch nicht einsetzen. team unterstützt auch bei Security-Awareness-Maßnahmen, dem Risikomanagement, der Einführung eines SIEM oder dem Aufbau eines SOC.

Cybersecurity: Chancen und Risiken für Unternehmen

Als Senior Consultant IT-Security ist Stefan als Fachexperte tätig und auch mit der Erstellung von Ausschreibungsunterlagen für IT-Infrastruktur-Projekte betraut. IT-Security findet er nicht nur spannend, sondern unbedingt notwendig. Warum das Thema gerade in der aktuellen Zeit an Bedeutung gewinnt, erzählt er im aktuellen Blog.

Wie haben sich die Anforderungen für „IT-Security“ während der Pandemie verändert?

Durch die Pandemie kommt es vermehrt zu IT-Security-Angriffen, vor allem durch die große Anzahl an MitarbeiterInnen, die im Homeoffice arbeiten. Dabei wird durch Phishing versucht, an personenbezogene Informationen zu gelangen und diese missbräuchlich zu verwenden.

Deutlich ersichtlich ist auch eine Vermischung von Privatem und Beruflichen – so wird der Faktor Mensch anfälliger für Bedrohungen im Bereich IT-Security. Steigende IT-Security-Kosten machen es für viele Firmen notwendig, diese Kosten und den daraus ergebenden Nutzen zu veranschaulichen. Dabei helfen neue Ansätze, wie Zero-Trust IT-Security-Strategien, um einen sicheren Betrieb der IT-Assets durch Remote Working, Digitalisierung und die zunehmende Verbreitung der Daten sicherzustellen.

Worauf müssen Firmen und EndnutzerInnen insbesondere Acht geben, um gut geschützt zu sein?

Gerade jetzt müssen Firmen auf der einen Seite die zur Verfügung gestellten Arbeitsgeräte (Laptops, Mobilgeräte) absichern und ihre MitarbeiterInnen auf Sicherheitsgefahren schulen und sensibilisieren. Durch gezielte Security-Awareness-Schulungen muss das richtige Bewusstsein geschaffen werden, um Herausforderungen bestmöglich zu meistern. Dabei soll es einen Mix geben aus Vortrag und praktischen Beispielen, wie zum Beispiel ein „infizierter USB-Stick“, der im Büro verloren geht. Ebenso dürfen keine privaten Geräte verwendet werden, um auf Firmendaten zuzugreifen, da diese vermutlich nicht so gut abgesichert sind wie Firmengeräte. Durch den Einsatz sogenannter Cyber Threat Intelligence (CTI) Systeme, können sich Unternehmen vorbereiten, ihre kritischen IT-Assets vor unbekannten Bedrohungen zu schützen.

Welche Empfehlungen gibt es, um die Netzsicherheit langfristig sicherzustellen?

Für mich ist die Einhaltung des NIS-Gesetzes eine wirksame Methode, um die Netzsicherheit langfristig sicherzustellen. Diese Empfehlungen sind nicht nur den Betreibern kritischer Infrastrukturen ans Herz zu legen, sondern jedem Unternehmen – unabhängig von der Firmengröße -sowie Einzelpersonen. Die zweite Empfehlung liegt in einem funktionierenden Business Continuity Management in den Firmen sowie spezialisiertem Personal, das sich mit Krisenmanagement, Risikomanagement und IT-Security beschäftigt. Die dritte und letzte Empfehlung liegt in der Verschlüsselung der Unternehmensdaten, auch gerade dann, wenn diese Daten bei einem Cloud Provider liegen.

Warum ist team der Spezialist für „IT-Security“?

team kann bereits auf einige IT-Security-Projekte zurückblicken und ist dank der Ausbildung und Expertise ihrer MitarbeiterInnen immer am letzten Stand. IT-Security wird bei team ganzheitlich gesehen und von verschiedenen Blickwinkeln aus kritisch betrachtet. Ebenso sind wir der Meinung, dass IT-Security ein kontinuierlicher Prozess ist, den es gilt, regelmäßig durch technische und organisatorische Maßnahmen weiter zu verbessern. Durch das IT-Security Know-how unserer MitarbeiterInnen, gepaart mit Erfahrungen aus Projekten kritischer Infrastrukturen, sieht sich team bestmöglich für neue Herausforderungen im Bereich IT-Security gerüstet.

„Cybersecurity ist allgegenwärtig“

Als IT Consultant ist Rudolf für das Projektmanagement, Geoinformationssysteme (sogenannte GIS) und Requirements Engineering verantwortlich. Zu einem der spannendsten Themen im IT-Sektor zählt für ihn „Cybersecurity“. Was ihn an seiner Arbeit begeistert, erzählt er im aktuellen Blog.

Du bist bereits einige Jahre im IT-Sektor tätig. Wie hat sich die Branche deiner Meinung nach verändert?
In den letzten Jahren ist unter anderem das Thema „Cybersecurity“ vermehrt in den Fokus der Öffentlichkeit gerückt. Egal, ob gefundene Schwachstellen in bekannten Betriebssystemen, erfolgreich abgewehrte Cyberangriffe oder Debatten zum Thema Datenschutz – „Cybersecurity“ ist allgegenwärtig! Für mich ist dieser Bereich neben der Geoinformatik einer der spannendsten innerhalb des IT-Sektors.

Was ist dir betreffend „Cybersecurity“ wichtig?
Ob Softwareentwicklung, Entwicklung von Systemarchitekturen oder interne Unternehmensprozesse – „Cybersecurity“ muss als fester Bestandteil bereits bei der Entwicklung beachtet und vom Unternehmen gelebt werden! Ebenfalls sollte klar sein, dass kein System vollständig vor Angriffen geschützt werden kann. Daher müssen entsprechende Notfallmaßnahmen immer auch im Vorhinein getroffen werden. Das gilt auch für den sensiblen Bereich der Geoinformationssysteme (GIS).

Welche Beispiele kannst du für solche Notfallmaßnahmen nennen?
Beispiele hierfür sind der Aufbau eines entsprechenden Asset-Managements und die frühzeitige Betrachtung möglicher Bedrohungen, Risiken und zugehöriger Maßnahmen. Tritt eines dieser Szenarien ein, kann im Bedarfsfall rasch reagiert werden. Wesentlich ist jedoch, dass es keine Pauschallösungen gibt. Daher müssen wir Notfallmaßnahmen immer bedürfnisgerecht planen und umsetzen.

Was begeistert dich an deiner teamArbeit?
Für mich sind insbesondere die abwechslungsreichen Aufgaben und der enge Kundenkontakt spannend. Täglich vor neue Herausforderungen gestellt zu werden und dabei fachlich als auch persönlich zu wachsen – das sind für mich wichtige Eckpfeiler, die meinen Arbeitsalltag bei team ausmachen!

team@Audit Competence Conference 2020

Zum 10. Mal fand heuer die „Audit Competence Conference“ von 23.- 24. Jänner 2020 in Wien statt.
Veranstaltet wurde die zweitägige Konferenz vom Österreichischen Institut für interne Revision (IR). team war vor Ort dabei, um mehr über aktuelle Entwicklungen zu erfahren und den branchenübergreifenden Dialog zu fördern.

„Audit Competence Conference“ als etablierte Fachtagung  
Das „Österreichische Institut für interne Revision“ hat sich als Plattform zur Diskussion aktueller branchenrelevanter Themen für Revisorinnen und Revisoren in Österreich etabliert.  Das Institut verfolgt das Ziel, die Interne Revision in Österreich zu fördern und weiterzuentwickeln. Dies wird ermöglicht durch professionelle Aus- und Weiterbildungen, regelmäßige internationale und nationale Treffen sowie aktuelle Informationen über Grundsätze und Methoden zum Thema.
Dr. Schafferer als team-Experte im Bereich IT-Security, Datenschutz und Datensicherheit besuchte die „Audit Competence Conference“, um sich über aktuelle Branchentrends zu informieren und auszutauschen.

Perspektivenwechsel fördert Verständnis
Die team Mitarbeiterinnen und Mitarbeiter unterstützen bei ihrer Tätigkeit konforme Umsetzungen, die auch der Internen Revision unterliegen. Der Perspektivenwechsel ermöglicht daher ein beiderseitiges Verständnis für die gesetzlichen Rahmenbedingungen und die Bedürfnisse der Kundinnen und Kunden bei der Internen Revision. So werden bestmögliche Ergebnisse über den gesamten Revisionsprozess hinweg erzielt.

Von der IT-Sicherheit zum Risikomanagement
Die Vorträge der diesjährigen Konferenz legten einen Fokus auf das Thema „IT-Sicherheit“ in der Internen Revision. Dies wird begründet durch die Ende 2018 in Kraft getretene NISG (Netz- und Informationssystemsicherheitsgesetz): Unternehmen, die kritische Dienste im Staat anbieten, sind angehalten, verstärkt Maßnahmen für die Sicherheit ihrer IT-Infrastruktur zu setzen.
Eine wesentliche Rolle spielten auch die Themen „Risikomanagement“ und Standards im Bereich „Sicherheits- und Qualitätsmanagement“. So wurden auch etablierte Modelle der Internen Revision kritisch hinterfragt. Erwartungsgemäß werden die Integration und Harmonisierung sowie die Weiterentwicklung bestehender Instrumente zukünftig an Bedeutung gewinnen.

Vom Berater zum Bindeglied
Die team Mitarbeiterinnen und Mitarbeiter sind nicht nur Berater im Prozess der Internen Revision. Sie nehmen vielmehr die Rolle eines Brückenbauers ein: Sei es zwischen Projekt und externem Auftragnehmer, aber auch zwischen unternehmensinternen Stakeholdern, denen auch die Interne Revision angehört.

„Tag der Computersicherheit“ am 30. November

Acht Fragen, acht Antworten.
Am heutigen „Tag der Computersicherheit“ widmet sich unser Blog dem Thema „IT-Security“.
Unser team Datenschutzexperte Dr. Michael Schafferer arbeitet zu diesem spannenden Bereich und hat die wichtigsten Fragen vorab mit uns geklärt.

1.    Was verstehen ExpertInnen unter dem Begriff „Computersicherheit“?
Der Begriff der „Computersicherheit“ hat vorrangig einen geschichtlichen Charakter. Zu Beginn der Nutzung von Personal Computern (PCs) verstand man darunter, die Hardware und Software für sich funktional und im weiteren Zusammenspiel abzusichern.
Heute jedoch haben sich die Schwerpunkte gewandelt und der Gegenstand hat sich ausdifferenziert. So wird mittlerweile in diesem Bereich von Spezialisierungen und Abgrenzungen im Sinne von IT-Security, OT-Security und Safety, Informationssicherheit, Datenschutz, u.D. gesprochen. Mein Tätigkeitsbereich erstreckt sich insbesondere im Bereich „IT-Security“.

2.    Wie haben sich die Anforderungen an IT-Security in den letzten Jahren geändert?
Die fortschreitende Digitalisierung ist eine der größten Herausforderungen unserer heutigen Gesellschaft. Aus meiner Sicht – und vermutlich der vieler ExpertInnen – gehen damit die Vernetzung und teilweise Öffnung von Systemlandschaften einher.
Dadurch ergeben sich völlig andere Bedrohungsszenarien und Angriffsflächen: Immer stärker imminente Komplexitäten und Abhängigkeiten münden in den Verlust der Verwaltbarkeit und Überschaubarkeit. Wesentlich ist daher ein vorausschauender Ansatz, um im Ernstfall bestens gerüstet zu sein.  

3.    Welchen Einfluss hat die DSGVO, die mit 25. Mai 2016 in Kraft getreten ist, auf das Thema „IT-Security“?  
Die DSGVO hat meiner Meinung nach in Österreich – und auch im restlichen EU-Raum – dazu geführt, dass das Thema „IT-Security“ verstärkt bei Entscheidungsprozessen berücksichtigt wird.
Genau genommen, wurden österreichischen Unternehmen bereits im Vorfeld ähnliche Anforderungen zur europäischen DSGVO gestellt. Dies zeigt ein Vergleich zwischen dem österreichischen Datenschutzgesetz (DSG) mit den Anforderungen gemäß der Novellierung der DSGVO. Themen wie Datenschutz, Betroffenenrechte, u.D. wurden dort bereits behandelt.

4.    Welche Mindestanforderungen sollten Unternehmen setzen, um als „sicher“ zu gelten?
Die Branche und der Markt im Bereich „IT-Security“ haben sich meiner Meinung nach enorm entwickelt und bieten eine weitreichende Bandbreite an Möglichkeiten, sich gegen spezifische Bedrohungen zu schützen. Neben der Koexistenz verschiedener Methoden, Standards, Software, Hardware, Zertifizierungen usw., ist es jedoch von Nöten, die jeweiligen Strategien an die gesetzten Unternehmensziele anzupassen.  
Daher kann ich nur mit einer Mindestanforderung als Antwort dienen: sich als Unternehmen mit dem Thema proaktiv auseinanderzusetzen, um sicher zu sein.  

5. Welchen Beitrag leistet team zum Thema „IT-Security“?
Aufgrund der Tätigkeitsbereiche unserer KundInnen zeigt sich, dass das Thema „IT-Security“ Einfluss auf die Bereiche Service, Dienstleistungen oder auch Infrastrukturen hat. Unsere KundInnen, PartnerInnen und Unternehmen müssen sich daher dem Thema und den damit einhergehenden Herausforderungen stellen.
Wir unterstützen sie daher bei der Beratung, Gestaltung und Umsetzung sicherer IT-Systeme und leisten damit einen gesellschaftlichen Beitrag zum Thema „IT-Sicherheit“.
Ich bin derzeit damit beschäftigt, österreichische Stromnetzbetreiber bei der Smart Meter Einführung dahingehend zu unterstützen.

6.    Welchen Zusammenhang gibt es zwischen IT-Security und intelligenten Messsystemen, sogenannten Smart Metern?
Weltweit gesehen, sind die Smart Meter Stromzähler schon seit etlichen Jahren im Einsatz. Es liegen damit bereits fundierte Erkenntnisse zu den Themen „Sicherheit“ und „potentielle Bedrohungen“ dieser durchaus komplexen Systemlandschaft vor.
Mark Elsberg hat in seinem Buch „Black Out – Morgen ist es zu spät“ auf fundierte Weise das Szenario eines europaweiten Black Outs beschrieben. Dort nutzten Hacker die Funktionalität der Fernabschaltung dieser Produkte. Die Fernabschaltung ist gesetzlich in §3 Ziffer 8 IMA-VO 2011 für die österreichischen Netzbetreiber vorgeschrieben – daher nimmt sie in den Risikobetrachtungen und folgenden Maßnahmensetzungen eine gewichtige Rolle ein.

7.    Smart Meter und Blackout: Eine reale Gefahr?
Durchaus! Die sicherheitstechnische Betrachtung der in manchen Ländern eingesetzten Smart Meter zeigt hier klare Schwachstellen. Deshalb sollten die notwendigen Vorkehrungen und allfällige Sicherheitsmaßnahmen in jedem Fall getroffen werden.
In Österreich können die Erfahrungen anderer Länder bei der Beschaffung und Installation von Smart Metern einfließen. Dies ist durchaus eine wertvolle Chance, da Gegenmaßnahmen vorab definiert und bei der Planungsarbeit berücksichtigt werden können.

8.    Ausblick: Wie kann sich das Thema „IT-Security“ in Zukunft entwickeln?
Allgemein gesehen, ist die IT eine junge Branche und das Gebiet der „IT-Security“ eine neue Spezialisierung. Erwartungsgemäß wird die Bedeutung von Informationstechnologien weiterhin steigen. Neben der Verbreitung und den an Einfluss gewinnenden IT-Systemen werden jedoch auch neue Angriffsflächen und Bedrohungsmuster durch die verstärkte Vernetzung und Digitalisierung (z.B. IoT und vernetzte Autos, Haushaltsgeräte u.D.) geboten. Das macht eine Absicherung der Systeme in jedem Fall erforderlich.

Die IT-Security-Branche und die agierenden ExpertInnen werden sich in jedem Fall damit messen müssen.