Wie sicher ist Österreichs Handy-Signatur wirklich? Experteninterview zu Sicherheitslücken und was Sie beachten müssen.

Am 30. Mai berichtete die ZIB2 umfassend über die gelungene Hacking-Attacke österreichischer Sicherheitsexperten gegen die Handy-Signatur, die bei zahlreichen E-Services von Unternehmen und Ämtern zum Einsatz kommt. In einem Webinar zeigen wir mit den Experten von ZTP wie die Attacke im Detail funktioniert, was die gefundenen Sicherheitslücken konkret für Sie bedeuten und wo Handlungsbedarf besteht. Im Blog-Interview bezieht Experte Wolfgang Prentner Stellung.

Wie sieht die Anwendung der Handy-Signatur derzeit aus?
Die Handy-Signatur ist puncto Akzeptanz mit über 640.000 Benutzern und über 200 E-Services mittlerweile eine Erfolgsgeschichte in Österreich – während die Benutzeranzahl bei den chipkartenbasierenden qualifizierten elektronischen Signaturen stagnieren, steigt die Benutzerzahl der Handy-Signaturen stark an.

Wie sicher ist die Handy-Signatur tatsächlich?
Die Handy-Signatur ist grundsätzlich eine erprobte Technologie, wenn sie richtig eingesetzt wird. Bei der österreichischen Handy-Signatur hat sich aber zumindest ein gravierender Fehler in der Sicherheitsarchitektur eingeschlichen, der das Phishing nach Handy-Signaturen, also die Fälschung von rechtsverbindlichen elektronischen Signaturen, ermöglicht.

Was bedeutet das für Service-Betreiber und Anwender?
Im März dieses Jahres wurden über 124.000 neue Phishing Websites gezählt. Die Phishing Problematik im E-Government mit derzeit über 200 E-Services wird 100-mal höher als wie z.B. beim Internet-Banking eingeschätzt. Warum? Ein Bürger hat 1 bzw. 2 Internet-Banking Anwendungen in Verwendung. Ein Bürger kann aber über 200 E-Government Services in ganz Österreich nutzen, daher der Faktor 1:100 was die Gefährdung durch Phishing Angriffe auf die österreichische Handy-Signatur betrifft und massiv erhöht. Für Service-Provider und dessen Kunden heißt dies konkret - erhöhte Achtung vor vermeintlichen E-Mails, damit nicht Signatur-Daten gephished werden  um sie dann missbräuchlich zur z.B. Unterfertigung von rechtsverbindlichen Verträgen durch Kriminelle zu verwenden.

Welche Maßnahmen müssen daher getroffen werden?

Von Seitens der (1) Anbieter von Handy-Signaturen müssen dringend einige Sicherheitsmaßnahmen korrigiert und verbessert werden. Die (2) Anbieter in Österreich von Handy-Signatur Login Lösungen, derzeit über 200 E-Services, müssen darauf achten, dass ihre Webseiten nicht gefälscht und zum Phishing nach Signaturen missbräuchlich verwendet werden und (3) die Bürger und Mitarbeiter von Betrieben und Behörden müssen darauf achten, dass Sie nicht Phishern auf den Leim gehen, sprich Ihre Signaturen missbräuchlich verwendet werden.

Wie Hacking gegen die Handy-Signatur aussehen kann und wie Sie sich schützen erfahren Sie in unserem Webinar mit Sicherheits-Profi Wolfgang Prentner. Sichern Sie rechtzeitig Ihre Teilnahme:

Webinar Termine:
Do. 2. Juni 2016, 14.15h  Do. 9. Juni 2016, 9.15h
Handy-Signatur Phishing - Ursachen, Folgen und mögliche Maßnahmen
Anmeldung: https://www.ztp.at/acsa

Datenschutzrecht - Die neue EU-Grundverordnung und was diese für Sie bedeutet

Die EU hat mit einer neuen Grundverordnung die Basis für ein einheitliches europäisches Datenschutzrecht gelegt und die rechtlichen Rahmenbedingungen an die technischen Gegebenheiten unserer Zeit anpasst. Was für Unternehmen dabei zu beachten ist, zeigen die Experten der O.P.P. – Beratungsgruppe beim Confare „Update Datenschutzrecht“ am 28. Juni – Im Blog Interview Siegfried Gruber über die Neuerungen, die Ziele und die Auswirkungen der Grundverordnung.

Was sind die 3 wichtigsten Handlungsfelder im Unternehmen, wenn es um Datenschutz geht?
Ich möchte das Thema „Datenschutz“ einmal von der rein juristischen Perspektive lösen. Denn dass das Gesetz zu befolgen ist, steht wohl außer Zweifel.

Auf der Sicht des Unternehmens ist Datenschutz zugleich der Schutz von Informationen. Daher geht es zuallererst darum, schützenswerte Informationen zu identifizieren und entsprechende Prozesse aufzusetzen, um den Schutzbedarf, allfällige Bedrohungen und wirksame Gegenmaßnahmen (oder allenfalls andere Strategien zur Risikobehandlung) zu definieren.
In weiterer Folge müssen diese Prozesse und die damit verbundenen Risiken laufend beobachtet und die Wirksamkeit der ergriffenen Maßnahmen überprüft werden.
Die Prüfung der Wirksamkeit der ergriffenen Schutzmaßnahmen ist zudem eine konkrete (und meines Erachtens in der Praxis extrem relevante) Forderung der Datenschutzgrundverordnung.

Welchen Zielen folgt die neue EU Grundverordnung zum Datenschutzrecht? Welche Interessen stehen dahinter?
Die Änderung des EU-Datenschutzrechts von einer Richtlinie zur Verordnung hat zwei grundlegende Aspekte:
1.       Die Richtlinie und deren Grundlagen stammen aus den 70er und 80er Jahren des letzten Jahrhunderts und haben somit ein nicht mehr der Realität entsprechendes Bild der Verwendung personenbezogener Daten. Zu diesem Zeitpunkt war weder vom Internet, noch von der Cloud, geschweige denn von Big-Data auch nur die geringste Vorstellung vorhanden. Die EU Datenschutzgrundverordnung ist ein Versuch (obwohl technologieneutral formuliert), diese und andere Verarbeitungsformen, von denen wir heute noch nichts wissen, mit zu berücksichtigen und den Schutz personenbezogener Daten im ausreichenden Ausmaß zu gewährleisten.
2.       Aufgrund der doch teilweise sehr unterschiedlichen Umsetzung der Datenschutz-Richtlinie in den Mitgliedstaaten ergab sich (wie der Fall Europe vs Facebook zeigt) ein von Mitgliedsstaat zu Mitgliedsstaat doch sehr unterschiedliches Rechtsschutzniveau. Hier soll durch eine Vielzahl konkreter Bestimmungen gewährleistet werden, dass ein wirksamer Rechtsschutz nicht davon abhängt, in welchem Mitgliedstaat sich der Betroffene oder aber auch der für die Verarbeitung Verantwortliche jeweils befindet.

Was sind die wichtigsten Neuerungen?
Die konkret wichtigste Neuerung ist, dass es sich bei der DSGVO um unmittelbar anwendbares Unionsrecht handelt (das interessiert aber vielfach nur uns Juristen 😉).
Aus meiner Sicht besonders wichtig ist das Thema der „Zustimmung“ durch die betroffene Person. Hier hat sich gegenüber den bisherigen Voraussetzungen doch einiges geändert, was durchaus Auswirkungen auf die Rechtmäßigkeit bereits bestehender Datenverwendungen haben kann.
Zudem gibt es einige konkrete Bestimmungen, die einen besonderen Schutz für die Verwendung von Daten von Kindern bieten sollen.
Ganz neu ist auch das Thema „Profiling“. Hier gibt es für bestehende Datenanwendungen wohl Bedarf an Nachbesserung.
Wurde das Thema „Datenschutz“ bisher vielfach als Nebenschauplatz abgetan, was nicht zuletzt mit der geringen Gefahr „spürbarer“ Sanktionen zusammenhing, so hat sich hier Wesentliches getan. Bisher lag die Maximalstrafe bei € 25.000, --, die neuen Strafrahmen sehen Beträge von bis zu € 20 Mio. oder 4% des weltweiten Umsatzes von Unternehmen vor.

Welche Änderungen betreffen österreichische Unternehmen?
Aus der Sicht der Unternehmen ergibt sich (je nach Größe der Unternehmen bzw. Art der verwendeten Daten und damit verbundenen Risiken) eine Vielfalt an Neuerungen. Dies beginnt bei der Dokumentationspflicht, der Pflicht zur Datenschutz-Folgenabschätzung, besondere Bestimmungen im Zusammenhang mit der verpflichtenden Meldung von Verletzungen des Datenschutzes (Data Breach Notification Duty), Überprüfung der Wirksamkeit von Datensicherheitsmaßnahmen etc.

Für manche Unternehmen ergibt sich auch eine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten.
Für alle Unternehmen, die personenbezogene Daten verwenden, ergibt sich jedenfalls die Aufgabe, sich mit den neuen gesetzlichen Bestimmungen zu befassen und allfälligen Handlungsbedarf zu prüfen.

Anmeldung und Details zum Update Datenschutzrecht finden Sie hier: http://www.confare.at/13429_DE-7419_Datenschutz_Praxisnah_-_Die_neue_EU_Grundverordnung-Programm_und_Referenten.htm

Vernichtet die Digitalisierung Arbeitsplätze oder erleben wir eine digitale Gründerzeit? Die Videoreportage zum 9. Confare CIO SUMMIT

"Im Mittelpunkt: Der Mensch" Mehr als 300 IT-Manager, 70 Speaker und 30 Aussteller machten das 9. Confare CIO SUMMIT am 6./7. April zu Österreichs größtem IT-Management Treffpunkt. Der Dokumentarfilmer Dominik Hörner hat an den beiden Tagen zahlreiche Gespräche mit Top CIOs und Branchenprofis geführt und etwa 8 Stunden Filmmaterial gesammelt.

Das Ergebnis ist eine 30 minütige Reportage, die in einer Trilogie auf YouTube präsentiert wird. Dabei werden durchaus kontroverse Themen angesprochen. Kostet der Digitale Wandel Arbeitsplätze? Können IT-Jobs für Frauen attraktiver gemacht werden? Wie geht man mit Ängsten rund um Veränderung um und warum muss gerade bei der Digitalisierung der Mensch im Mittelpunkt stehen?

Erleben Sie ein WhoIsWho der österreichischen IT und hören Sie Vordenker und Experten. Zu Wort kommen zahlreiche CIO AWARD Preisträger und Top CIOs wie Martin Fluch A1, Anton Leitner NÖM AG, Peter Lenz ÖBB, Marcus Frantz OMV, Heinz Hodel EMMI AG, Ulrike Huemer (Stadt Wien) uvm.

Ich freue mich über rege Diskussion und Euer Feedback.

Michael Ghezzo und das Confare Team




Video 1 - "Wir erleben eine Digitale Gründerzeit"

Swiss CIO AWARD Preisträger Andy Fitze "Wir laufen nicht Marathon - Sprint ist angesagt!"

Video 2 - Was heisst "Im Mittelpunkt: Der Mensch" beim Digitalen Wandel?

Marcus Frantz, Group CIO OMV AG: "Ängste sind berechtigt - die Gesellschaft muss sich der Herausforderung durch die Digitalisierung stellen"

Verlieren wir durch die Digitalisierung Arbeitsplätze? Mitarbeiter, Management, User, Kunden - der CIO muss vor allem auch die menschlichen Aspekte des Wandels meistern. Ängste müssen Ernst genommen werden, gesellschaftliche Antworten sind gefragt.

Video 3 - Confare CIO AWARD 2016 - Wer sind die besten IT-Manager?

Den CIO AWARD nahmen Thomas Zapf (Styria) und Hannes Gutmeier (conwert) entgegen. Als #TopCIO 2016 wurden ausgezeichnet: Martin Buresch (kwizda), Ulrike Huemer (Stadt Wien), Peter Karas (BrauUnion - Heineken) Christian Pfundner (Schrack Technik), Hannes Ruess (Lenzing)

Mehr Videos und spannende Statements hochkarätiger Manager finden Sie im

Confare YouTube Channel.

Die Bedrohung der Gesellschaft durch Cyberwar und was Unternehmen und Bürger für mehr Sicherheit tun können – Blog-Interview mit Oberst des Generalstabs Walter J. Unger, Abwehramt

ObstdG Mag. Walter J. Unger leitet den Bereich Cyber Defence beim Bundesministerium für Landesverteidigung und Sport. Durch die zunehmende Digitalisierung aller Lebensbereiche hat sich die Zahl der möglichen Angriffspunkte für Cyber Attacken drastisch vergrößert. Anlässlich seiner Keynote beim 9. Confare CIO SUMMIT am 6/7. April haben wir Mag. Unger zum Bloginterview gebeten. Es geht um Cyberwar Szenarien, die Rolle klassischer Streitkräfte im Digitalen Krieg und die notwendigen Vorsichtsmaßnahmen.

Wie angreifbar ist unsere Gesellschaft, sind unsere Unternehmen in Zeiten der zunehmenden Digitalisierung tatsächlich?

Die in rasanten Schritten zunehmende Digitalisierung aller Gesellschaftsbereiche führt zu einer massiven Abhängigkeit von der Verfügbarkeit der gespeicherten Daten, der Funktionsfähigkeit der Informations- und Kommunikationstechnik-Infrastrukturen (IKT-Infrastrukturen) und dem reibungslosen Fluss riesiger Datenmengen. Aktuelle Trends wie internet-of-everything, Industrie 4.0, Big Data, Clouds, Roboter, Mobilität, permanente Erreichbarkeit und Forecast Analytics verstärken diese Dependenzen.

Leider gibt es keine fehlerfreie Software, täglich werden neue Schwachstellen entdeckt und damit ergeben sich zahlreiche Möglichkeiten für Angriffe.

Folgende Bedrohungstrends sind erkennbar: Cyber-Attacken kommen laufend und treffen jeden. Angreifer werden immer professioneller. Und derartige Dienstleistungen werden auch im Netz angeboten (Cyber Attacks-as-a-Service).  Angriffe können gekauft werden, gleichzeitig gibt’s auch Angriffstools zu mieten. Damit können auch Angriffe ohne spezielle IT-Kenntnisse durchgeführt werden.

Weiters ist zu beobachten, dass Täter sich intensiv mit den Opfern beschäftigen. Angriffe werden indirekt geführt und zielen auf das schwächste Glied. Angriffe gegen kritische Infrastrukturen nehmen zu. Schadprogramme werden industriell gefertigt, täglich tauchen 100.000e neue auf. Und letztlich kann jeder vom Missbrauch seiner persönlichen Daten, auch im Zusammenhang mit Forecast Analytics, betroffen sein.

Was sind die wichtigsten Faktoren, die einen Cyberwar ausmachen?

Die grundsätzlichen Überlegungen für einen Cyberwar gehen davon aus, dass ein Staat von seinen strategischen Infrastrukturen abhängig ist. Dazu gehören die Elektrizitätsversorgung, Telekommunikation, Internet, Bundesbahn- und andere Logistiksysteme, Wasser- und Lebensmittelversorgung, Abwasserentsorgung, Banken und Geldversorgung, Militär, Sicherheits- und andere Behörden, Kraftwerk- und Staudämme, Krankenhäuser und Notfalleinrichtungen, Medien, Luftverkehrskontrollzentren und Flughäfen. Alle diese strategischen Infrastrukturen sind wiederum von deren IKT massiv abhängig.

Ein massiver Angriff auf die IKT-Systeme eines Staates könnte zu ähnlichen Wirkungen, wie ein massiver Angriff auf die industrielle Basis und damit zu einem politisch verwertbaren Ergebnis führen.  Durchschlagend wären diese Angriffe nur, wenn sie einen langfristigen, digitalen Stillstand des gesamten Staates zur Folge hätten.

Wieviel Cyberwar gibt es schon in Friedenszeiten?

Der Begriff Cyberwar in Friedenszeiten ist irreführend, verharmlosend und führt zu groben Missverständnissen. Im Frieden sollte man besser den Terminus „Cyber-Angriffe“ verwenden. Ich sehe derzeit folgendes Cyber-Bedrohungsspektrum: Missbrauch personenbezogener Daten von Forecast Analytics, Cyber-Angriffe um Geld zu ergaunern, Cyber- Wirtschafts- und Konkurrenzspionage sowie Angriffe gegen einzelne Unternehmen und Behörden der strategischen Infrastrukturen. 

Massive, großflächige Angriffe mit dem Ziel durch Herbeiführung eines digitalen Stillstandes einen Staat in die Knie zu zwingen, entspricht dem Cyberwar-Szenario. Davon sieht man im Frieden nicht viel. Wenn jemand so etwas vorbereitet, wird er Cyberwaffen im Labor entwickeln und austesten. Was man erkennen könnte, sind Handlungen zur Auskundschaftung und Infiltrierung relevanter Ziele. Da solche Maßnahmen sich nicht von anderen kriminellen Machenschaften unterscheiden, sind sie nur schwer als potenzielle Kriegsvorbereitung zu identifizieren.

Mit welchen Szenarien setzen Sie sich auseinander?

Cyber Defence beschäftigt sich ausschließlich mit dem zuletzt beschriebenen Szenario: Nur bei Vorliegen eines Angriffes auf die staatliche Souveränität und selbstverständlich nach politischer Entscheidung ist das Militär zuständig. Alle anderen Szenarien fallen in die Zuständigkeit des BMI. Das BMLVS unterstützt hier nach Anforderung im Rahmen eines Assistenzeinsatzes.

Welche Rolle haben bewaffnete Streitkräfte in Digitalen Kriegsszenarien?

Das Bundesheer hat vor 25 Jahren mit der Einführung der EDV begonnen und ist mittlerweile fast voll digitalisiert. Damit das ÖBH als strategische Reserve Österreichs den Auftrag „Schutz und Hilfe“ erfüllen kann, ist die erste Hauptaufgabe der Cyber Defence-Elemente, die Verfügbarkeit, Integrität und Vertraulichkeit der militärischen IKT-Systeme sicherzustellen. Zusätzlich leisten wir einen Beitrag zur Resilienz anderer Behörden und den strategischen zivilen Infrastrukturen.

Die strategischen Infrastrukturen müssen selbst permanent ein hohes Maß an IKT-Sicherheit gewährleisten. Bei großangelegten Cyber-Attacken könnte das Militär durch frühzeitige Information über die Angriffe und Unterstützung bei der Abwehr einen wesentlichen Beitrag leisten.

Wie sicher ist Österreich?

Sicherheit ist schwer messbar. Im reichen Österreich gibt es etwas zu holen: es gibt beispielsweise sehr innovative erfolgreiche Unternehmen und zahlreiche interessante Forschungsprojekte. Daher sind Angriffe auf unser Land grundsätzlich für kriminelle Akteure und Spione sehr interessant. Ich gehe davon aus, dass es bei uns täglich zu Cyber-Angriffe auf Unternehmen, Verwaltungen und Privatnutzer kommt.

Welche Möglichkeiten haben Behörden, Unternehmen und Bevölkerung um dazu beizutragen?

Es ist wichtig, sich dieser Bedrohung bewusst zu sein. IKT-Sicherheit ist permanent auf hohem Niveau erforderlich. Das erfordert zwingend eine eigene Sicherheitsorganisation.

Rasche, professionelle Reaktion (Incident Management) muss institutionalisiert werden. Dabei ist eine Frühwarnung zur vorbeugenden raschen Reaktion äußerst wertvoll.  Diese Informationsweitergabe ist eine der Hauptaufgaben für staatliche Cyber-Elemente (Cyber Defence Center, Cyber Security Center, GovCERT).

Zur Bewältigung von Angriffen und Minimierung deren Folgen ist es notwendig Redundanzen aufzubauen und Notfallpläne vorzubereiten.

Welche Vorbereitungen kann man persönlich treffen um sich auf Szenarien des Cyberwars vorzubereiten?

Jeder kann einen Beitrag zu mehr Sicherheit im Netz leisten. Mit einfachen Maßnahmen wie die permanenten Aktualisierung aller Programme und die Verwendung von einer Firewall und Anti-Virensoftware kann ein Mindestmaß an Schutz erreicht werden.

Dazu kommen noch das Anlegen eines User-Kontos (anstatt alles mit Administrator-Konto), die Verwendung eines Zweitgerätes zum Surfen und eine sicherheitsbewusstes Verhalten im Netz. So sollte man Mails von Unbekannten löschen, Vorsicht bei Nutzung von dubiosen kostenlose Angeboten bzw. Software walten lassen und E-Shopping nur bei seriösen Anbietern abwickeln.

Ganz wichtig ist auch dieses Bewusstsein an den Partner oder die Kinder zu vermitteln. Und auch im privaten ist ein Notfallplan wichtig – an wen kann ich mich wenden?

Zuletzt noch ganz wichtig – auch unsere mobilen Device (Smartphone, Tablets) sind Computer und gehören geschützt.

Die Keynote von ObstdG Mag. Walter J. Unger findet im Rahmen des 9. Confare CIO SUMMIT am 6/7. April in Wien in den Räumlichkeiten der Schönbrunner Orangerie statt. Anmeldung und Details auf www.ciosummit.at – Für IT-Manager ist die Teilnahme kostenlos.

The Internet Of Things is going to change the way we do business – in many ways

Sara Gardner is one of the Keynote Speakers at Austrians largest CIO and IT-Manager event, the Confare CIO SUMMIT, which is going to take place on March 25/26^th in Vienna. She is Vice President and Chief of Strategy for Social Innovation at Hitachi Data Systems. In our Blog Interview she tells us why the impact of IoT in future may even surpass the Impact the Internet had on human communication. To meet Sara Gardner at the CIO SUMMIT register at www.ciosummit.at

What changes does the Internet of Things bring to our Life?

Just think about the impact the Internet has had on human connection.  Magnify that a few hundred times and you can start to begin to imagine life when everything is connected.   
Smart thermostats and home lighting is only the beginning.  Think smart prescription drugs, connected cars and autonomous vehicles, smart buildings that react in multiple ways to the changing outside environment.    
The opportunities are endless – some frivolous but many providing a positive impact to our lives.

How does it affect the way business works today?  What is the role of the IT unit and the CIO?

The Internet of Things will have a dramatic effect on business in the same way as the overall Internet spawned new multi billion dollar companies and rendered others irrelevant.  It changes the game. 
Smart companies will react and capitalize.  Others will be left by the way side.  The Internet of Things will drive new business models. Overall I see it as a tremendous opportunity and one in which CIOs and IT play a major role.  
 I think we are moving into an era where all companies will see that data is one of the most important currencies they have.  Many will seek ways to not just drive efficiencies through data but to monetize that data to drive new avenues for business.   
Savvy CIOs and IT departments will be already thinking of how to increase their leverage of data as a source of intelligence. 

What is the impact of Big Data in daily business?

Over the past 10 - 20 years we have pretty much automated and optimized every aspect of the Business back office.  While there is opportunity for further optimization there using Big Data technologies the greater opportunity in my mind is the integration of traditional IT with the Physical World of IoT.

For some companies that may just mean better connection with their customers but for others it means breaking down barriers between operational processes and traditional IT. 

For example, in a rail company enormous efficiencies have been driven out of the back office and yet train maintenance is often still a relatively un optimized process. There are huge efficiencies and cost savings to be gained from leveraging smart sensor technology and analytics to move to on demand or predictive maintenance model. 

There are examples of inefficiencies like this in most industries.  A combination of Big Data technologies and the Internet of Things have the potential to have big impact.

What are the 3 biggest revolutions that are going to happen in the next 5 years that are driven by Big Data and IoT?

www.ciosummit.at

It’s often difficult to predict exactly what is round the corner as the pace of technology is moving so fast.  Based on what I know today I would offer up the following thoughts. 

Firstly I see an increase in the use of analytics on unstructured and rich media data.  The amount of video captured across industries is staggering.  There quite simply are not enough human hours in the day to manually mine it and yet in many instances it can be a rich source of insight.  Some examples:  At Hitachi we are working with customers to leverage powerful machine learning technology on raw video to monitor the health of physical infrastructure.  Surveillance video in a store that is traditionally deleted after a day or too could be leveraged to track shopper patterns and optimize product displays …

Secondly I see a move towards an “as a Service” model in many industries.  We have already seen the move from computing in the Data Center to Software as a Service in the Cloud.  Why not “Physical Asset as a Service”? 
We are pioneering this model today in our Rail Business at Hitachi.  Rather than the customer acquiring and managing the rail rolling stock directly they pay based on the availability and delivery of train service.  Makes total sense for customers and industrial vendors like Hitachi will need to adopt this model on a wider scale in the future I predict.
Finally I see an increased focus on security.  While there are significant benefits to be gleaned from the Internet of Things one cannot ignore security.  We will see a much greater focus on technologies to protect data privacy and militate against hostile attacks on Systems.

Sara Gardner is Keynote Speaker at the 8^th Confare CIO SUMMIT on March 25th in Vienna – Meet her and 300 more IT executives at www.ciosummit.at

Bis der Arzt kommt … Die 3 wichtigsten Bedrohungen für die Gesundheit der IT

Vorsorgemedizin boomt und wirkt sich nachweislich positiv auf die Gesundheit der Bevölkerung aus. Eher nachlässig wird indes die „Gesundheit von IT-Systemen“ behandelt, gerade in Zeiten von Kostendruck und steigender Komplexität. Während die Abhängigkeit der Unternehmen von der IT immer mehr steigt, wachsen gleichzeitig auch die Bedrohungen. Der Ziviltechniker Dr. Wolfgang Prentner (ZT-PRENTNER-IT GmbH) ist Spezialist für Computer Forensik und IT-Sicherheit und versteht sich oft als Notfallmediziner in der IT. Im Gespräch gibt der Spezialist Auskunft über jene Vorbeugemaßen, die zur Gesundheitsfürsorge in der IT notwendig wären.

Wo sehen Sie denn die 3 schlimmsten Gesundheitsbedrohungen für die Unternehmens-IT?

Mehrere Faktoren kommen zur Zeit gleichzeitig zum Tragen:

(1) Die IT Landschaft ist hoch komplex und neue, moderne Technologien werden eingesetzt. Mobile Endgeräte, Cloud Services und Virtualisierung verändern die Nutzung und die Erwartungen an IT-Systeme. Um agil und rasch im Wettbewerb zu agieren, wird Software in immer kürzeren Abständen entwickelt, zumeist nicht ausreichend getestet und  von Qualitätssicherung sowie Dokumentation ist keine Rede. Dadurch schleichen sich immer mehr Fehler in die Software ein mit zum Teil fatalen Folgen im Bereich der System-Zuverlässigkeit als auch im Bereich der Sicherheit. Beispiele dafür sind die falsche Verbuchung von Geldbeträgen auf Privat- und Firmenkonten sowie die Einsicht in fremde Konten beim Online-Banking oder der Supergau der heuer stattfand im Zusammenhang mit dem  „Heartbleed Software-Fehler“. Dieser ermöglichte direkt den Hauptspeicher von mehreren Millionen sicherheitskritischen Computersystemen auszulesen.

(2) Unternehmen sind immer mehr von Spezialisten und Dienstleistern abhängig. Dabei kommen die Dienstleistungen zu 99% nicht aus einer Hand sondern von einer Heerschar von Dienstleistern für z.B. Hardware, Betriebssystemen, Infrastruktur, ERP, CMS, Storage, für Installation, Wartung und Betrieb. Dies führt dazu, dass bei Problemen mit der IT, keine rasche und zielgerichtete Lösung des Problems vorliegt, sondern das Problem zumeist wie eine heiße Kartoffel im Kreis geschickt wird. Die Rechnung zahlt dann der Auftraggeber.

(3) Ein Basisschutz ist zumeist in den Unternehmen und Behörden vorhanden. Das wissen auch die Angreifer. Ein erhöhter Schutz auf Basis einer Risikoanalyse kostet zumeist nicht doppelt so viel wie man vermuten würde, sondern erhöht die Kosten um einen Faktor 10 bis 100 (!). Mit diesem exponentiellen Anstieg der Kosten und des Aufwandes sind die meisten Organisationen überfordert, das macht sie verwundbar. Aber auch dieser Schwäche sind sich Cyber-Kriminelle bewusst.  

Was sind die gängigsten Angriffsziele?

Die Angriffsziele sind breit gefächert. Primär geht es um Geld. Privatpersonen sind genauso lohnende Ziele, wie kleinere Unternehmen oder Konzerne. Immer noch gelingt es, blauäugigen Privatpersonen mit plumpen beziehungsweise simplen und altbekannten aber perfektionierten Methoden beträchtliche Summen abzuknöpfen, sei es mit Spam, Phishing oder fingierten Anrufen. Das Vorgehen bei Angriffen auf Konzerne ist meistens komplexer da das Sicherheitsniveau wesentlich höher ist. Allerdings ist hier auch mehr zu holen.

Inwieweit muss man sich als Unternehmen vor Cyber Kriminellen schützen?

Cyber Kriminalität hat sich zum Big-Business mit Milliarden Umsätzen entwickelt. Das Vertrauen in die Informationstechnologie ist mehr denn je durch die in den letzten Tagen, Monaten und Jahren aufgedeckten kriminellen Handlungen erschüttert – dahinter stecken mafiose Strukturen und natürlich auch staatliche Spionageaktivitäten. Man denke an den  aktuellen Fall des Trojaners Regin, bei dem die Vermutung nahe liegt, dass er aus dem Umfeld staatlicher Organisationen kommt.

Der Schutz vor Cyber Kriminellen kann zum Teil durch eine gut gewartete IT Landschaft und konkrete Abwehrmechanismen sichergestellt werden. Auch eine unabhängige und regelmäßige Überprüfung des Sicherheitsniveaus von Unternehmen und Behörden hilft.

Der zentrale Angriffs-Faktor ist jedoch weiterhin der Mensch selbst, der die Systeme, die ihm zur Verfügung gestellt werden nur unzureichend versteht und aus diesem mangelnden Verständnis heraus, aus Bequemlichkeit oder fehlendem Risiko-Bewusstsein heraus Fehler macht. Es gilt: „culture eats strategy“, die beste Sicherheitsstrategie hilft nichts, wenn die Unternehmenskultur im Punkto Sicherheit unterbelichtet ist. Awareness Maßnahmen, Information, Diskussion und Schulung sind hier von entscheidender Bedeutung.

 Was ist bei Gesundheitsvorsorge für die IT zu beachten?

Bei der Gesundheitsvorsorge für die IT ist zu beachten dass die strategischen IT-Ziele mit genügend Ressourcen, Know-how und Geldmitteln bestückt werden und mit den richtigen Partnern verfolgt werden. IT-Dienstleister glänzen oft in der Akquise, letztendlich sind sie aber eher dem eigenen Unternehmenserfolg verpflichtet als dem der Kunden. Wichtig ist dabei, sich nicht nur das Leistungspaket und die attraktiven Preise anzusehen, sondern auch zu prüfen, was passiert, wenn etwas passiert. So dass Sie im Fall des Falles nicht im Stich gelassen werden. Hier ist es unter Umständen unabhängige Dritte ins Boot zu holen, um die eine objektive Einschätzung der Lage zu erhalten.

Als Referent steht der Fachmann Wolfgang Prentner auf dem 8. Confare CIO & IT-Manager Summit für Fragen zur Verfügung, wo am 25. und 26. März in Wien auch die besten IT-Manager des Jahres ausgezeichnet werden. Anmeldungen und Details auf www.ciosummit.at
  (