Die österreichische Handy-Signatur – Vorzeigeprojekt mit Sicherheitslücken? Interview mit Reinhard Posch, CIO der öst. Bundesregierung?

Die österreichische Handy-Signatur gilt weltweit als Erfolgsgeschichte und Vorzeigeprojekt im Bereich des e-Government und der elektronischen Partizipationsmöglichkeiten für BürgerInnen. In den letzten Wochen wurde plötzlich Kritik laut rund um vermeintliche Sicherheitslücken. Wir hatten dazu im Blog ein Interview mit Wolfgang Prentner, der in einem ZIB2 Bericht Schwächen in der Sicherheitsarchitektur der Handy-Signatur anprangerte. Aufgrund der Unsicherheit, die der Medienlärm verursacht hat und dem hohen Interesse unserer Leser haben wir uns um eine Stellungnahme der Verantwortlichen bemüht. Lesen Sie nun was Prof. Reinhard Posch meint, der CIO der österreichischen Bundesregierung. Was macht den bisherigen Erfolg der Handy-Signatur aus? Welchem Risiko sind die Anwender der Handy-Signatur tatsächlich ausgesetzt? Inwieweit besteht Handlungsbedarf?

Welche Anforderungen bringt der Digitale Wandel an die Öffentliche Verwaltung und insbesondere an die IT?

Bereits 2015 wurden mehr mobile Geräte als PCs und Workstations auf den Markt gebracht. Dieser Trend wird nicht nur anhalten, sondern verstärkt zu beobachten sein. Die Verwaltung kann sich solchen Trends nicht verschließen, sondern muss diese Anforderung an die Agilität der Services annehmen. Sicherheit darf dabei nicht auf der Strecke bleiben und bei proaktiven Strategien, für die Österreich seit 15 Jahren international bekannt ist und im E-Government als Vorreiter gilt, kann dies auch im Sinne eines Sicherheitsfortschritts genutzt werden.

Die Handy-Signatur gilt als eine der Erfolgsgeschichten des e-Government und findet international Anerkennung – Was macht den Erfolg der Lösung tatsächlich aus?

Österreich ist nicht nur bekannt und anerkannt mit der Handy-Signatur, sondern es hat diese innovative Form von Sicherheitstechnologie auch explizit in der neuen EU-Verordnung eIDaS Niederschlag gefunden. Erreichbar wurde dies durch den Konzept und Produktzyklus, den Österreich im E-Government eingeführt hat und der in den Basiselementen (Portalverbund, Handy-Signatur, ….) nun auch flächendeckende Wirkung zu zeigen beginnt. Der Zyklus reicht in einer abgestimmten Strategie von der offenen Innovation über die Verwaltungsebenen übergreifenden Koordination und Abstimmung hin zur Umsetzung.

Im Falle der Handy-Signatur ist dies ein koordiniertes Zusammenwirken von Technologie- und Verhaltensaspekten, die nicht nur die Akzeptanz im privaten Bereich auf das Vielfache der Karte als Signaturtoken gesteigert hat, sondern aus dem Design heraus auch bedeutende Sicherheitsfeatures hinzugebracht hat. Dazu nachfolgend nur exemplarisch herausgegriffene Beispiele.

·         Verlust und Widerruf: Der Verlust, das Entwenden des Mobiltelefons wird aller Regel nach innerhalb von ein paar Stunden evident und damit ist dieser zeitliche Risikofaktor gegenüber einer Karte – auch einer Multifunktionskarte –, die oft über Tage hinweg ungenutzt und damit ein Verlust unerkannt bleibt, um einen Faktor verbessert.
·         Der Widerruf selbst hat totale Wirkung, da nicht nur der Widerruf im Verzeichnis als Information erfolgt, sondern zusätzlich der Signaturschlüssel nicht mehr verwendet werden kann bzw. vernichtet wird.
·         Mit dem Smartphone besitzt jeder eine „intelligente Tastatur“. Dies wurde im Kartenumfeld immer wieder versucht; intelligente Tastaturen haben sich aber aus Usability und Preisgründen nicht durchsetzen können. Mit der QR-APP als kryptographisch gesicherten, technisch an das initialisierte Gerät gebundenen SMS-Ersatz kommt dieser Effekt nicht nur zum Nulltarif, sondern bringt zusätzlichen Komfort, den die BenutzerIn an Bedürfnisse anpassen kann.

Welche Rolle spielt die Handy-Signatur beim österreichischen e-Government? Wie sehen die Perspektiven aus?

Qualifizierte Signatur als EU-weit anerkanntes Sicherheitstool ist zur Zeit Kernbestandteil des österreichischen E-Government und hat uns bereits seit 2010 in die Lage versetzt, den grenzüberschreitenden Bedarf genauso wie den nationalen Bedarf einzusammeln. Ohne dieses Sicherheits- und Datenschutzkonzept wäre uns der Vorsprung im Bereichen wie z.B. ELGA nicht gelungen – und dies wird nicht nur in Österreich so gesehen. Stetig steigende Nutzerzahlen und vor allem Nutzungen sowie Applikationen, die darauf abstellen, sind ein lebender Beweis dafür. Qualifizierte Heranführung der BürgerInnen und der Unternehmen an die Verwaltung sind Grundvoraussetzung für hohe Qualität der Daten und der Verfahren in der Verwaltung. Die Handy-Signatur ist dabei ein Grundpfeiler.

In den letzten Wochen wurde die Sicherheitsarchitektur der Handy-Signatur in den Medien stark kritisiert – Wie gefährdet sind Handy-Signatur Nutzer tatsächlich?

Auch wenn diese Situation medial sehr prominent aufgegriffen wurde, sind sich alle anerkannten Fachleute einig, dass darin keine neuen Erkenntnisse stecken. Die Grundproblematik „Phishing“ ist in IT-Zeiträumen gerechnet uralt und wurde in wesentlich ausgefeilterer Form als hier schon vor Jahren am BSI-Kongress diskutiert. Würde dieser Hinweis nicht allzu sehr einer Anleitung oder gar einem Anstiften nahekommen, könnten wir diese sogar als Beitrag zur User-Awareness begrüßen. Dieser Effekt scheint aber weder intendiert noch unintendiert hinüberzukommen. Die Sicherheitsarchitektur wurde in meinen Augen, da der aufgezeigte „Angriff“ nicht spezifisch auf die Handy-Signatur wirkt und auch kein Architekturelement ausnutzt, nicht wirklich angesprochen. Der so genannte Angriff wäre vergleichbar mit einem Pappkartonbankomaten, wo Sie ihre Karte stecken, PIN eingeben und dann eine falsche Karte mit dem Hinweis „funktioniert leider nicht“ zurückbekommen. Auch hier – und solche Fälle gab es vor Jahren im Ausland auf Autobahnstationen - ist Ihre Bank oder Ihr Kartenbetreiber nicht beteiligt und wird kaum Maßnahmen – mit Ausnahme der immer notwendigen Awareness - treffen können. Ein Unterschied ist allerdings hervorzuheben: Der „Betreiber des gefälschten Bankomaten“ wird nicht seinen gültigen Lichtbildausweis vorne auf den Bankomaten kleben, da Verbrecher sich eben nicht gerne ausweisen. Aber genau das müsste beim aufgezeigten Angriff geschehen, da die Handy-Signatur nur über https-Verbindungen - über Ausweise von Servern, die von anerkannten Zertifizierungsdiensteanbietern ausgegeben werden – funktioniert und daher diese Phishing-Attacke – wie das übrigens auch in der in den Medien vorgezeigten der Fall war – eine https-Verbindung aufbauen muss, um nicht sofort aufzufallen.

Welche Maßnahmen sind von Seiten der Verwaltung angedacht? Was müssen Nutzer beachten?

Wie gesagt, ist die Attacke nicht auf die Handy-Signatur abgestimmt und nutzt auch „keine Schwachstelle derselben“ aus. Natürlich muss man – und das machen auch die Banken regelmäßig – dem Benutzer sagen: Klicken eines Link in einer Mail ist ein großes Sicherheitsrisiko, weil man sich damit in den Bereich des oft gar nicht erkennbaren Absenders der Mail begibt und sich diesem ausliefert. Man muss sich schon die Mühe machen, solche Links abzutippen – zumindest einmal, dann kann man sie in die Lesezeichen geben, sofern man bei den Lesezeichen tatsächlich nur vertrauenswürdige Links verwaltet.

Die ohnehin bereits seit einiger Zeit festgelegte Kommunikationsstrategie ist, Benutzer zur weiteren Verbesserung anzuraten, auf die QR-APP, die seit einigen Monaten als zusätzliche Möglichkeit angeboten wird, umzusteigen. Dort kann man auch die ausgelöste Transaktion – z.B. Anmeldedetails bei Finanz-Online mit Bürgerkarte – unmittelbar vor Freigabe und damit ohne Sicherheitsrisiko über den zweiten, unabhängigen Smartphonekanal anzeigen. Generell muss man den BenutzerInnen sagen, dass abgebrochene – also irreguläre – Sitzungen bei jeder Internetanwendung ein gewisses Verdachtsmoment auslösen sollten. Ich mache in einem solchen Fall einen Screenshot von der Abbruchssituation. Im Streitfall – der behauptete Angriff ist ohnehin nur dann nutzbar, wenn der Angreifer mit der Behauptung eines signierten Dokumentes auftritt – könnte man die Logs der Handy-Signatur anfordern. Der Zeitpunkt ist mitsigniert und kann ohnehin nicht verändert werden. Da allerdings dieses Phishing zweimalige Identifikation des Angreifers erfordert – einmal bei der http-Verbindung des Phishing und einmal bei der Nutzung des signierten Dokumentes, können wir die Einschätzung des Risikos nicht teilen und die Tatsache, dass dieses Thema vor einiger Zeit auch öffentlich nachvollziehbar diskutiert wurde und dass es keinen Beschwerdefall, der dazu passt gibt, führt uns zu einer gänzlich anderen Einschätzung der Gefährdungslage.

Wie geht es weiter dem österreichischen e-Government?

eIDaS bringt neben eID und Signatur weitere Elemente. Hier werden wir uns gut überlegen müssen, wie wir daraus Nutzen erzielen können. Dies wird auch von den Synergien mit anderen Mitgliedsstaaten abhängen. Die große Herausforderung ist das Schritthalten mit den Entwicklungen in mobilen Bereich und im Sicherstellen der Attraktivität. Diese Attraktivität muss unter Beibehalten der Grundmauer und damit der Building Blocks der österreichischen E-Government Infrastruktur erreicht werden. Nur so kann das hohe Vertrauen in die Sicherheit und das effiziente Funktionieren und die Motivation aller Beteiligten erhalten bleiben.

Auf der Confare Veranstaltung #Digitalize 2016 treffen Sie u.a. Christian Rupp, Sprecher der Plattform Digitales Österreich aus dem Bundeskanzleramt. Anmeldung und Details auf www.confare.at

Cloud-Migration – Die grösste Gefahr ist „Nichts-Tun“

Als Managing Director von Interxion Switzerland hat Peter Möbius zahlreiche Unternehmen bei der Migration in Cloud unterstützt. Als Partner beim 5. Confare Swiss CIO SUMMIT am 22. 9. in Zürich haben wir ihn gefragt, welche Risiken und Chancen die Cloud bringt und wie seiner Meinung nach die korrekte Vorgehensweise bei einem Cloud-Projekt aussieht. Die Antwort ist überraschend.

Wie hat sich denn der Cloud Markt entwickelt?

Die steigenden Umsätze der namhaften Cloud Anbieter zeigen deutlich: Die zögerliche, zurückhaltende Haltung gegenüber Cloud Technologie weicht der Überzeugung, dass Cloud ein wertvoller Bestandteil zukünftigen IT Infrastrukturen sein wird. Das Angebot wächst stetig und bietet dem Kunden damit mehr Flexibilität. Das ist insbesondere in Zeiten rascher Veränderungen entscheidend.

Welche Wünsche haben die Cloud-Anwender?

Die Anbieter haben viel investiert um das Vertrauen der Kunden zu gewinnen. Die Anwender sind überzeugt, dass Sicherheit, Migration, und Betrieb in einer hybriden Cloud Umgebung gemanagt werden kann. Die Erfahrung fehlt aber noch, insbesondere wie sich bestehende Legacy Systeme mit Cloud Struktur vereinigen lassen. Deshalb ist es entscheidend, dass die Anbieter mit dem entsprechenden Consulting und Professional Services bei der Projektumsetzung und Betrieb unterstützen.

Welche Qualität hat das Angebot?

Die Kunden sind sensibilisiert auf mögliche Schwächen, und Cloud Anbieter verbessern daher laufen ihre Qualität. Mehr Digital bedeutet auch mehr Risiko. Vielen Unternehmen fehlen dabei die notwendigen Ressourcen um bei diesen Sicherheitsanforderungen auf dem neusten Stand zu bleiben. Hybrid Cloud Systeme leisten hier Abhilfe und garantieren, dass alle Anforderungen erfüllt werden wie zum Beispiel: Datenlokalität Schweiz, ISO 27001, ISO 27018 oder FINMA Audit.

Findige Anbieter kombinieren mit einer wasserdichten Trennung zwischen private Cloud und enterprise Cloud die Vorteile beider Welten, so dass die User Usability und Funktionalität von public Cloud Anwendungen nutzen können ohne Kompromisse bei der Sicherheit machen zu müssen.

Mit welchen Fragen sollte sich das Management auseinandersetzen, bevor Cloud-Projekte ins Auge gefasst werden?

-        Internetsicherheit
-        TCO (total cost of ownership: wo investiere ich mein Geld, make or buy
-        Gibt mir Cloud die Möglichkeit, die IT zu reformieren: 21st Century IT, Digitalisierung, Flexibilität, Zuverlässigkeit, OPEX statt CAPEX

Welche Chancen bietet Cloud Technologie für das Unternehmen?

-        MEHR Sicherheit
-        MEHR Zuverlässigkeit
-        MEHR Skalierbarkeit
-        BESSERE Disaster Recovery
-        BESSERE TCO

Das grösste Risiko für Unternehmen in der aktuellen Situation heisst:

- Nichts tun (!)
- Es bedeutet Digitalisierungschancen zu verpassen und von neueren Technologien nicht zu profitieren.
- Fachabteilungen suchen dann eigene Wege, die zentrale IT verpasst die Chance mitzugestalten und verliert an Bedeutung.

Was ist bei der Migration zu beachten?

- nicht alles gleichzeitig
- unsere Empfehlung ist Cloud First, das heisst bestehende Applikationen 1:1 abbilden in der Cloud
- erst wenn die Migration geglückt ist, sollte man weitere Optimierungen und Anpassungen vornehmen.

Der Confare Swiss CIO AWARD wird am 22. September in Zürich im Rahmen des SWISS CIO SUMMIT verliehen. Anmeldung und Details auf www.ciosummit.ch
Einreichungen zum SWISS CIO AWARD sind bis zum 31. Juli möglich auf www.cioaward.ch

Wie sicher ist Österreichs Handy-Signatur wirklich? Experteninterview zu Sicherheitslücken und was Sie beachten müssen.

Am 30. Mai berichtete die ZIB2 umfassend über die gelungene Hacking-Attacke österreichischer Sicherheitsexperten gegen die Handy-Signatur, die bei zahlreichen E-Services von Unternehmen und Ämtern zum Einsatz kommt. In einem Webinar zeigen wir mit den Experten von ZTP wie die Attacke im Detail funktioniert, was die gefundenen Sicherheitslücken konkret für Sie bedeuten und wo Handlungsbedarf besteht. Im Blog-Interview bezieht Experte Wolfgang Prentner Stellung.

Wie sieht die Anwendung der Handy-Signatur derzeit aus?
Die Handy-Signatur ist puncto Akzeptanz mit über 640.000 Benutzern und über 200 E-Services mittlerweile eine Erfolgsgeschichte in Österreich – während die Benutzeranzahl bei den chipkartenbasierenden qualifizierten elektronischen Signaturen stagnieren, steigt die Benutzerzahl der Handy-Signaturen stark an.

Wie sicher ist die Handy-Signatur tatsächlich?
Die Handy-Signatur ist grundsätzlich eine erprobte Technologie, wenn sie richtig eingesetzt wird. Bei der österreichischen Handy-Signatur hat sich aber zumindest ein gravierender Fehler in der Sicherheitsarchitektur eingeschlichen, der das Phishing nach Handy-Signaturen, also die Fälschung von rechtsverbindlichen elektronischen Signaturen, ermöglicht.

Was bedeutet das für Service-Betreiber und Anwender?
Im März dieses Jahres wurden über 124.000 neue Phishing Websites gezählt. Die Phishing Problematik im E-Government mit derzeit über 200 E-Services wird 100-mal höher als wie z.B. beim Internet-Banking eingeschätzt. Warum? Ein Bürger hat 1 bzw. 2 Internet-Banking Anwendungen in Verwendung. Ein Bürger kann aber über 200 E-Government Services in ganz Österreich nutzen, daher der Faktor 1:100 was die Gefährdung durch Phishing Angriffe auf die österreichische Handy-Signatur betrifft und massiv erhöht. Für Service-Provider und dessen Kunden heißt dies konkret - erhöhte Achtung vor vermeintlichen E-Mails, damit nicht Signatur-Daten gephished werden  um sie dann missbräuchlich zur z.B. Unterfertigung von rechtsverbindlichen Verträgen durch Kriminelle zu verwenden.

Welche Maßnahmen müssen daher getroffen werden?

Von Seitens der (1) Anbieter von Handy-Signaturen müssen dringend einige Sicherheitsmaßnahmen korrigiert und verbessert werden. Die (2) Anbieter in Österreich von Handy-Signatur Login Lösungen, derzeit über 200 E-Services, müssen darauf achten, dass ihre Webseiten nicht gefälscht und zum Phishing nach Signaturen missbräuchlich verwendet werden und (3) die Bürger und Mitarbeiter von Betrieben und Behörden müssen darauf achten, dass Sie nicht Phishern auf den Leim gehen, sprich Ihre Signaturen missbräuchlich verwendet werden.

Wie Hacking gegen die Handy-Signatur aussehen kann und wie Sie sich schützen erfahren Sie in unserem Webinar mit Sicherheits-Profi Wolfgang Prentner. Sichern Sie rechtzeitig Ihre Teilnahme:

Webinar Termine:
Do. 2. Juni 2016, 14.15h  Do. 9. Juni 2016, 9.15h
Handy-Signatur Phishing - Ursachen, Folgen und mögliche Maßnahmen
Anmeldung: https://www.ztp.at/acsa

Die Top 3 Faktoren für Risikomanagement im Digitalen Zeitalter: Samuel Brandstätter, avedos im Bloginterview

Wenn sich Alles verändert, hilft professionelles Riskmanagement mit dem Unvorhersehbaren umzugehen. Samuel Brandstätter, CEO von avedos, zeigt bei seinem Vortrag auf dem 9. Confare CIO SUMMIT gemeinsam mit Franz Hoheiser Pförtner, dem CISO des Wiener KAV, wie moderne Tools für Compliance und Risikomanagement in der Praxis funktionieren.

Was bedeutet Risiko in Zeiten des Digitalen Wandels? Wie kann man Risiko überhaupt managen, wenn kein Stein auf dem anderen bleibt?

Die Bedeutung von Risiken in der digitalen Welt hat sich gegenüber der Bedeutung in der analogen Welt nicht geändert. Es geht im Kern des Risikomanagements nach wie vor darum, sicher zu stellen, dass organisationale oder individuelle Ziele erreicht werden. Dabei bildet Risikomanagement den Rahmen um mit unvorhergesehenen Ereignissen oder Entwicklungen umzugehen und aktive Steuerungsmaßnahmen zu setzen. 

Spezifische Domänen des Risikomanagements – wie beispielsweise das Informationsrisikomanagement – gewinnen durch den digitalen Wandel stark an Bedeutung. Informationen, die bis vor einigen Jahren ausschließlich in physischer Form vorlagen, existieren heute digital – und sind damit überall und zu jeder Zeit abrufbar. War es vor einigen Jahren noch ausreichend, wertvolle Informationen mit einem guten Perimeterschutz gegenüber außen zu schützen, so bringen die viel intensivere unternehmensübergreifende Vernetzung, der Trend Daten in der Cloud abzulegen und die viel einfachere Zugänglichkeit zu Informationen über mobile Devices die Notwendigkeit mit sich, den Informationsschutz neu zu überdenken und zu gestalten. Die zunehmende Vernetzung aller Bereiche des Lebens und die damit verbundene Generierung von Daten (herfür gibt es zahllose Beispiele – vom Fitness-Tracker bis zum Connected Car, vom intelligenten Kühlschrank bis zur digitalen Patientenakte) bringt darüber hinaus auch noch völlig neue Angriffsszenarien mit sich.  

Mit diesen Entwicklungen Schritt zu halten ist eine der wesentlichen Herausforderungen um im digitalen Wandel das Sicherheitsniveau aufrecht zu erhalten.

Welche Anforderungen stellt das Risikomanagement an die Prozesse und Organisation des Kunden?

Risikomanagement hat heute oft den Ruf des „Verhinderers“ – vor allem wenn es nur von wenigen Risikomanagern betrieben wird, die involviert werden müssen um bei kritischen Entscheidungen von einem Veto-Recht Gebrauch zu machen. Tatsächlich ist Risikomanagement aber eine Management-Disziplin, die von den operativen Management-Strukturen einer Organisation nicht zu trennen ist. Jeder Entscheidungsträger wägt Risiken in jedem Aspekt seines Handelns ab – ob mittels Bauchgefühl oder mit formalisierten Methoden. Das unternehmensweite Risikomanagement hat die klare Aufgabe einheitliche Methoden und Werkzeuge bereit zu stellen, die dem operativen Management dabei helfen, bessere Entscheidungen zu fällen. Interessanterweise ist zu beobachten, dass Organisationen mit einer starken Zielfokussierung Risikomanagement nicht als Hemmschuh, sondern als aktives Steuerungselement der Zielerreichung anerkennen – die operativen Manager sehen dabei die in das Risikomanagement investierte Zeit als Hilfestellung, ihre Ziele zu erreichen.

Welche Bedeutung hat dabei der „menschliche Faktor“?

Wie sich in diversen Wirtschaftskrisen gezeigt hat, kann man auch mit den besten Algorithmen nicht aus der Vergangenheit valide auf die Zukunft schließen. Risikoeinschätzungen – und die daraus resultierenden Einschätzungen der künftigen Entwicklung -  basieren im Wesentlichen immer auf drei Quellen: Daten aus der Vergangenheit, Parameter der Gegenwart in Verbindung zu den Daten der Vergangenheit und menschlichen Einschätzungen, Schlussfolgerungen, Ableitungen – also „Experts Judgement“. Ich bin der Überzeugung, dass auch in Zeiten von Big Data und mit Unmengen an verfügbaren historischen Daten der Mensch die entsprechende Schlussfolgerung ziehen wird und dabei auch immer seine subjektiven Erfahrungen und Eigenschaften eine Rolle spielen werden.

Welche Möglichkeiten bieten dazu GRC Tools? Wie sieht Ihr Einsatz in der Praxis aus?

Aus meiner Wahrnehmung gibt es zwei Arten von Softwarewerkzeugen im GRC-Umfeld. Es gibt Experten-Tools, die einen meist sehr kleinen Kreis von Experten dabei unterstützen, Daten aufzubereiten, mit speziellen Analyse- und Simulationsverfahren zu bearbeiten und auf sehr konkrete Fragestellungen statistisch nachvollziehbare Ergebniswahrscheinlichkeiten aufzuzeigen.

Die zweite Art von Werkzeugen sind Management-Systeme – also Werkzeuge, die das zentrale Risikomanagement enablen seine Governance-Funktion auszuüben. Dabei werden Prozesse und Methoden aufgebaut, die dabei helfen, eine homogene Risikomanagement-Vorgehensweise in die gesamte Management-Organisation zu tragen um damit die Zielfokussierung sowie die Resilienz gegenüber unvorhergesehenen Entwicklungen im Gesamtunternehmen zu stärken. Der größte Nutzen für Unternehmen entsteht genau dann, wenn begonnen wird, mehrere solche Management-Systeme zu integrieren um Synergien zwischen ERM, IKS, Audit Management, Compliance Management, Security Management und anderen GRC-Prozessen zu ziehen. Durch diese Integration entwickelt GRC seinen eigentlichen Mehrwert.

Was sind die 3 wichtigsten Erfolgsfaktoren für GRC im Digitalen Zeitalter?

Die Vision von avedos für GRC umfasst wesentliche Themenbereiche, die wir als kritische Erfolgsfaktoren von GRC-Initiativen – und damit auch des Erfolges des jeweiligen Unternehmens – sehen:

1.            Integration – GRC-Verantwortliche sind mehr und mehr gefordert ihre GRC-Prozess Silos aufzubrechen und zu integrieren. Vorstände können es in einer so bewegten Zeit nicht mehr akzeptieren, dass SIE in der Pflicht sind, sich aus unzähligen, nicht integrierten Berichten, das Gesamtbild aufzubauen um entscheidungsfähig zu sein. Auch ein einheitliches GRC-Tool zu implementieren, das dann erst wieder hermetisch separierte GRC-Silos in sich trägt, wird hier das Problem nicht lösen. Der Erfolg von GRC-Initiativen – vor allem aus Sicht der Vorstände und Aufsichtsräte – wird also maßgeblich davon abhängen ob GRC-Initiativen holistisch gedacht sind oder nur „alter Wein in neuen Schläuchen“.

2.            Agilität – Je schneller sich die Umwelt weiterentwickelt, desto schneller müssen sich auch Risikomanagement- und GRC-Prozesse entwickeln können. Dies verlangt höchste Flexibilität und Anpassbarkeit der eingesetzten GRC-Systeme. Es ist erforderlich alle Aspekte einer GRC-Initiative anhand des Reifegrades des Unternehmens weiterentwickeln zu können. Methoden, Prozesse, Standards- und Normen, Integrations-Szenarien, Schnittstellen  - all diese Elemente müssen sich den jeweiligen Gegebenheiten anpassen können um Sackgassen in der IT-Umsetzung von GRC zu vermeiden.

3.            Collaboration – je größer die Zielgruppe der in einen GRC-Prozess involvierten Personen ist, desto mehr ist die möglichst einfache, schnelle und transparent dokumentierte Zusammenarbeit zu GRC-Inhalten erforderlich. Dies umfasst sowohl Möglichkeiten der Personen- / Abteilungs- / Standort-übergreifenden Interaktion zu Risiken, Maßnahmen oder anderen GRC-Inhalten, als auch die Vereinfachung der Kommunikation über die unterschiedlichen Organisationsebenen.

Das Confare CIO SUMMIT ist Österreichs größter CIO Treffpunkt mit mehr als 300 IT-Entscheidern und der Verleihung des CIO AWARD an die besten IT-Manager Österreichs. Anmeldungen und Details auf www.ciosummit.at

 Die avedos business solutions gmbh ist ein Softwareunternehmen mit Sitz in Wien, das sich auf Governance, Risk und Compliance (GRC) spezialisiert hat. Das Unternehmen bietet seit 2005 flexible Softwarelösungen, mit denen GRC-Prozesse dargestellt und verwaltet werden um Risiken frühzeitig zu erkennen und Chancen optimal zu nutzen. Die Softwareplattform risk2value deckt eine Vielzahl von Anwendungsbereichen im Umfeld Enterprise Risk Management, Internes Kontrollsystem, Compliance Management, Audit Management und Informationssicherheitsmanagement ab. Zu den Kunden zählen die weltweit größten und erfolgreichsten Automobilhersteller, Versicherungen, Telekommunikations- und Handelsunternehmen.
www.avedos.com

Die 10 wichtigsten Kennzahlen in der IT – Was Sie zum Messen und Steuern Ihrer IT Leistung brauchen

Seit vielen Jahren beschäftigt sich Holger Schellhaas Münchner Partner der TCI Transformation Consulting International GmbH mit dem Messen und Steuern von IT-Leistung. Anlässlich des Confare Seminars IT-Kennzahlen nennt er uns seine 10 Lieblingskennzahlen, und sagt, was der CIO braucht um sich im Pilotensitz wohl zu fühlen.

Welche Auswirkungen haben Cloud und Digitaler Wandel auf die interne IT?

Über alle Branchen hinweg gibt es Beispiele, wo die technischen Möglichkeiten in der Informations- und Kommunikationstechnologie ganze Marktsegmente revolutioniert haben. Viele dieser Beispiele sind Geschäftsmodelle im Internet, wie die Amazon Web Services. Dabei hat Amazon mit diesen Webservices ein neues Geschäft mit dem Angebot von Cloud Computing aus seinem initialen Kerngeschäft, dem Vertrieb von Büchern und anderen Produkten über das Internet, entwickelt. Also hochskalierbare Cloud-Dienste und digitaler Wandel gehören eng zusammen. Cloud Computing bietet die Möglichkeit, Rechenkapazität kostengünstig, flexibel und zuverlässig einzusetzen und sich an ändernde Anforderungen schnell anzupassen. Die Auswirkungen auf die Struktur der internen IT sind immens, viele - nicht nur kleine und mittlere Unternehmen - sind darauf nicht wirklich vorbereitet. Wir haben bei der TCI Transformation Consulting International GmbH, bei der ich Partner in München bin, mit dem „IT Healthcheck“ und „Digital Readiness Assessment“ gute Erfahrungen gemacht, mit dem wir herausfinden, wie ein einzelnes Unternehmen den umfassenden Einsatz digitaler Technologien mit dem richtigen ersten Schritt angeht.

Was ist essentiell um den Wert einer IT zu messen? Reichen Kosten- und Performance-Kennzahlen?

Die Kernfrage für mich ist, wie man in der IT die strategischen Unternehmensziele „konsequente Kundenorientierung, hohe Innovationskraft und kompromissloses Qualitätsdenken“ in passende IT-Prozesse umsetzt? Das ist essentiell, um den Wert der IT zu messen, das sind dann echte KPIs, also KEY Performance Indicators, die den Namen verdienen. Auch wenn KPIs das Wort „Performance“ enthalten, geht es vielmehr um die Qualität der IT-Services. In einem aktuellen Projekt von mir war ein kritischer Erfolgsfaktor für die IT, dass die Umsetzung von Projekten und kleineren Changes viel zu lange dauerte und die Qualität und die Termintreue die Kundenerwartungen immer wieder nicht erfüllt wurden. Da ging es also darum, den Wert der IT für die Fachbereiche an ihrer Verlässlichkeit und Planbarkeit zu messen, das natürlich auch was zur Performance aussagt, aber doch mehr ist.

Welche Steuerungsinstrumente braucht der CIO?

Ziel des IT-Controllings als wesentliches Instrument zur Steuerung der IT ist es, die Qualität zusammen mit der Performance und den tatsächlichen Kosten der IT-Services zu bewerten. Ein gutes Steuerungssystem stützt sich auf wenige „sprechende“ Kennzahlen und ein regelmäßiges Service Level Monitoring aller IT-Services, um Transparenz für den Verbesserungsbedarf in der IT zu schaffen. Dazu gehört die Umsetzung in Kennzahlen-Cockpits oder Dashboards, also die Aggregation von Kennzahlen zu aussagefähigen Indices - am besten als Modell auf Basis der Standard Balanced Score Card - und unterschieden nach Zielerreichungsindikatoren und Leistungsindikatoren, die sich den Zielgrößen Kundenzufriedenheit, Vermeidung von Risiken, Kosteneffizienz, Prozesseffizienz und Mitarbeiterkompetenz zuordnen lassen. Das klingt komplizierter als es ist. Mein Vorschlag: Kommen Sie am besten in unser Confare-Seminar „IT-Kennzahlen 2016“ am 12.Mai 2016 in Wien.

Was ist bei der Auswahl der eigenen Kennzahlen zu beachten?

Kosten und Leistung Ihrer IT können Sie nur steuern, wenn Sie aussagekräftige Kennzahlen dafür zur Verfügung haben. Ich bin ein Freund von Standards wie ITIL, COBIT und ISO 27001 - da findet sich eine Fülle von Anregungen. Man muss den dort enthaltenen wertvollen Schatz aber auch erst heben. Das geht durch geeignete Auswahl und Verdichtung operativer Kennzahlen in messbare Kriterien und Indikatoren, die sich dem Management reporten lassen. Das machen wir übrigens in dem erwähnten Confare-Seminar. Wie hat es doch der kleine Prinz von Antoine de Saint-Exupery so gut beschrieben: “Wenn Du ein Schiff bauen willst, dann trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu vergeben und die Arbeit einzuteilen, sondern lehre sie die Sehnsucht nach dem weiten, endlosen Meer.” Sehnsucht nach schlanken Prozessen habe ich bei vielen Projekten bei den beteiligten Verantwortlichen vielleicht nicht erreicht, aber sicher den Nutzen und den Sinn verdeutlicht.

Was ist Deiner Erfahrung nach die Top 10 der Kennzahlen in der IT und wie wertvoll sind sie wirklich?

Gerade in stürmischen Zeiten suchen IT-Manager nach Halt und Hilfen, um zu navigieren. Ideal wäre so etwas wie in einem Auto oder Flugzeug: Der Pilot sitzt gemütlich im Sessel und hat Instrumente vor sich, die ihm den Status seiner verschiedenen Aggregate und Systeme vor Augen halten. Bei kritischen Werten geben diese selbständig Signale und der Pilot greift ein. Auch hat der Pilot dann gleich an seinem Platz die notwendigen Hebel, um steuernd einzugreifen. Ansonsten lässt er den Autopiloten den Job machen. Meine Favoriten sind quantitative Kennzahlen zum Grad eingehaltener Service Levels, zur Qualität der IT-Service-Prozesse (aus Sicht der IT-Nutzer!) zur Kundenzufriedenheit und zu den Kosten pro Arbeitsplatz der wichtigsten IT-Services - alles Kennzahlen, die betriebliche Daten zu sinnfähigen Informationen verdichten, um Zusammenhänge mit einem Blick zu verdeutlichen. Damit lassen sich abstrakte Ziele der IT (z.B. „Signifikante Kostensenkungen in den nächsten 3 Jahren” oder „Angemessener Grad an IT-Sicherheit“) in messbare Kriterien übertragen. Aber eines ist klar: Zu echten Steuerungsgrößen werden Kennzahlen aber erst, wenn der erreichte Fortschritt und die erfolgreiche Umsetzung auch überwacht werden.

Anmeldung und Details zum nächsten Seminar: http://www.confare.at/13452_DE-7418_IT-Kennzahlen-Einfuehrung.htm

WhatsApp und Facebook fordern die Enterprise Kommunikation heraus – IT-Security darf Innovationen nicht verhindern

Helmut Pöllinger ist Geschäftsführer von Brainloop in Österreich. Er berät Unternehmen dabei Kommunikationsprozesse im Unternehmen sicher zu gestalten und Dokumente rechtsicher nutzbar zu machen. Er beobachtet dabei, wie Messaging- und Kommunikationsgewohnheiten der Anwender aus dem Privaten Umfeld Einzug in den Unternehmen halten. Ihre Usability, Geschwindigkeit und Convenience schlagen e-Mails und was in den Unternehmen sonst genutzt wird um Längen. Doch was bedeutet das für Rechtssicherheit und IT-Security im Unternehmen?

Im Vorfeld zu seinem Vortrag auf dem 9. Confare CIO & IT-Manager Summit haben wir diese Frage an Helmut Pöllinger gestellt.

Wie verändern sich die Bedürfnisse der Mitarbeiter auf den Umgang mit Information im Unternehmen?

Die Kommunikation in Unternehmen und zwischen Unternehmen gewinnt drastisch Geschwindigkeit was zu einer rasant steigenden Dialogfrequenz führt. Während sich mittlerweile Menschen jeden Alters genauso gut auf sozialen Plattformen wie beispielsweise Facebook bewegen, greifen jüngere seit Q3 2015 bevorzugt auf Messaging-Plattformen zu um Ihren Aufgaben nachzukommen. Die Antwortgeschwindigkeit von E-Mails ist um den Faktor 10 langsamer und kommt für sie daher nicht in Frage.

Was der Browser für den Computer war, ist der Messenger für das Handy.

Yammer (von Microsoft übernommen) und Co werden so von Firmenchat kontinuierlich aus dem Büroalltag verdrängt und schon heute organisieren sich div. Firmen-Abteilungen oft primär über Facebook Messenger und WhatsApp.

Wie fit sind österreichische Unternehmen Deiner Einschätzung nach, um diesen neuen Bedürfnissen gerecht zu werden?

Es sind gerade jene Mitarbeiter im Unternehmen, die nach 2000 die Schule verlassen haben und heute damit 36 Jahre und jünger sind, die das Kommunikationsverhalten im Unternehmen deutlich beeinflussen. Der Wunsch effizienter und zielgerichteter zu arbeiten steht im Vordergrund. Dies ist Teil einer Erwartung an eine Firmenkultur, die auch massive Auswirkung auf die Attraktivität des Unternehmens als Arbeitgeber hat. Die Implementierung der Vorteile von Echtzeitkommunikation ist in „Enterprise-Austria“ noch nicht ganz angekommen. Die Zahl derer die sich damit auseinandersetzen steigt aber zunehmend und sichtbar in 2016. Gefordert ist jedenfalls die Einbeziehung von Datenschutznotwendigkeiten wie existierender Legacy Systeme. Das wiederum ist kein rein österreichisches Spezifikum. Daten welcher Art immer vor dem unberechtigten Zugriff Dritter zu Schützen wird uns in den nächsten Jahren massiv begleiten.

Mit welchen Risiken müssen Unternehmen dabei umgehen?

Noch wird vielerorts die Datensicherheit, insbesondere Datenschutz nicht berücksichtig, da die Nutzung der Messenger nicht in eine Unternehmensweite Security Policy eingebettet ist. Aus dem privaten Bereich kommend, ist die Sensibilität für das Thema mit Wirkung für Unternehmen - etwa Schutz des geistigen Eigentums von Unternehmen – nicht überbordend vorhanden. Es bedarf technischer Maßnahmen, aber auch einmal mehr bewusstseinsbildender Maßnahmen. Ein Großteil „gehypter“ Kommunikationslösungen wird von amerikanischen Anbieter bereitgestellt, die anderen Sicherheitsrichtlinien und womöglich Interessen folgen. Egal wie modern die Lösung ist, sie muss auch den Sicherheitsanforderungen Österreichischer Firmen entsprechen - hier geht es nicht zuletzt um eine der wichtigsten Ressourcen einer Firma: das geistige Eigentum.

Darf Security Innovation und rasches Agieren auf dem Markt verhindern?

Nein, Security muss Innovation oder gar rasches Agieren im Markt überhaupt nicht zwingend behindern. Sie muss dazu aber praktisch schon mit-eingebaut sein und automatisch immer da sein. Das ist dann leicht realisiert, wenn die Messenger Infrastruktur eine entsprechende Sicherheitsarchitektur aufweist und wenn eingebundene Informationen, Dokumente, sonstige Ablagesysteme ebenso sicher ausgelegt sind. Viele der Messenger Systeme kommen aus dem Consumer Bereich und finden aus Sicherheitsbetrachtung unzulässige Anwendung in Unternehmen. Die Konfliktlösung muss hier jedoch nicht sein das Prinzip der effizienten Kommunikation zu verurteilen, sondern eine sichere Anwendung hierfür auszuwählen. Die optimale Vereinigung von Datensicherheit und Kommunikationsoptimierung mit geeigneten Messengersystemen stellt für sich eine Innovation dar.

Wie können moderne Kommunikationslösungen aussehen, die Sicherheit und Flexibilität der Arbeit unter einen Hut bringen?

Da wir bei Messenger Systemen oft implizit von Cloud Services sprechen, muss deren Sicherheitsarchitektur entsprechend konzipiert sein. Zudem bieten einige Enterprise Chat Lösungen die Möglichkeit für große Nutzerzahlen zudem „on premises“ betrieben zu werden, was weitere flankierende Maßnahmen erleichtert, aber keineswegs ein Muss darstellt.

Werden Legacy Systeme eingebunden, so ermöglichen Software- und Datenbankwrapper auf Mobilgeräten das Absichern von solcherart ausgetauschten Informationen auch in einer offeneren BYOD-Strategie.

Idealerweise werden hochsichere Lösungen miteinander verknüpft, was über Konnektoren mit geringem Aufwand realisiert werden kann und so die unterschiedlichen Zugriffsberechtigungen automatisch berücksichtigt werden. In unserem gemeinsamen Lösungsansatz verbinden wir das hochsichere Dokumentenmanagement System von Brainloop mit der sicheren Enterprise Chat Lösung von Grape. Die Philosophie dabei ist: Der User arbeitet in seiner notwendigen Geschwindigkeit und die Datensicherheit ist kein Aspekt den er dabei in irgendeiner Weise selbst berücksichtigen muss. 

Der Vortrag von Helmut Pöllinger findet im Rahmen des 9. Confare CIO SUMMIT am 6/7. April in Wien in den Räumlichkeiten der Schönbrunner Orangerie statt. Anmeldung und Details auf www.ciosummit.at – Für IT-Manager ist die Teilnahme kostenlos.

Wie sicher kommunizieren Aufsichtsräte und Vorstände? Anforderungen an digitale Kommunikation

Das Unternehmen ICSA Boardroom Apps Limited bietet mit Boardpad eine spezielle Lösung für die sichere Kommunikation mit Aufsichtsräten und Vorständen. Wir sprachen im Rahmen des 4. Confare Swiss CIO SUMMIT mit Daniel Billep über die speziellen Wünsche dieser Zielgruppe, digitale Kommunikation und die Sicherheitsrisiken von Papier.

Inwieweit haben sich die Anforderungen an die Verteilung von Informationen geändert?

DB: Immer mehr Vorstände steigen auf die Verwendung einer App für Vorstandssitzungen um, um den Prozess der Verwaltung der Sitzung und der Unterlagen zu straffen. Der Wechsel zu einer App ist daher positiv weil im Zeitalter von Big Data immer mehr Information in kürzerer Zeit erhältlich ist und dadurch jegliche Updates zu Board Packs / Vorstandsmaterialien per traditionellem Weg, also Druck und Versendung, der elektronischen Lieferung nicht mithalten kann. Des Weiteren macht es heutzutage keinen Sinn schwere und umfangreiche Dokumente in der Aktentasche zu tragen wenn der Grossteil der Firmeninternen Kommunikation elektronisch stattfindet und somit auf dem Tablet erhältlich ist.

Welche Wünsche haben Vorstände und Aufsichtsräte?

DB: Vorstände und Aufsichtsräte machen sich weiterhin gerne Notizen auf ihren Unterlagen. Durch die Boardpacklösungen, die über integrierte Annotationsfunktionen verfügen, können die Geschäftsführer ganz einfach Kommentare oder Notizen hinzufügen, die Schlüsselpunkte unterstreichen oder ähnlich wie bei der Verwendung von Boardpacks in Papierform frei zeichnen. Es gibt auch eine zusätzliche Funktion zum Teilen der Kommentare, Generieren von Kommentarlisten und einfachen Navigieren von einem Kommentar zum nächsten.

Welche Risiken sind in diesem Zusammenhang zu beachten? Inwieweit ist Awareness für Sicherheitsfragen in den Führungsetagen zu finden – und was kann man dazu beitragen?

DB: Die Frage der Sicherheit der vertraulichsten Unterlagen ist immer eine der wichtigsten. Elektronische Boardpacks sind sehr sicher. Fragen Sie jedoch bei Ihren potentiellen Providern immer nach vollständigen Details einschließlich der durchgeführten Penetrationstests. Vergleichen Sie die Sicherheitseigenschaften mit den Risiken der Papierübermittlung. Wurde jemals ein Boardpack von einem Kurier nicht korrekt übermittelt? Wurden vertrauliche Unterlagen jemals in Zügen, Flugzeugen oder Hotels vergessen? Wurden Dokumente von einem Kurier an Hotel geliefert, nachdem Ihr Geschäftsführer bereits ausgecheckt hatte? Im Gegensatz zu Boardpacks in Papierform bieten Ihnen Notebooks oder iPads mit elektronischen Boardpacks immer noch ein Maß an Sicherheit, wenn diese verlegt wurden. Das Gerät an sich ist passwortgeschützt und hochgeladene Dokumente sollten automatisch verschlüsselt werden. So können Daten verlorener Geräte über Fernzugriff gelöscht werden.

Was ist ausschlaggebend für die Usability?

DB: Elektronische Boardpacks sind für eine möglichst intuitive und benutzerfreundliche Handhabung designt. Geschäftsführer kommen mit ihnen generell sehr schnell zurecht. Es ist wichtig, dass sie durch den Provider ordnungsgemäß eingewiesen wurden und dass ein permanenter Support zur Verfügung steht. Nach dem Training durch den Provider ist das Team von Gesellschaftssekretären/-sekretärinnen oft auch in der Lage, bei Standardfragen eine Hilfestellung zu bieten.

Welche Perspektiven und künftigen Möglichkeiten erwarten Sie?

DB: Der digitale Boardroom ist der Boardroom der Zukunft. Ob es Sicherheit, Nachhaltigkeitspolitik oder generelle Praktikalität ist, digitale Board Packs unterstützen alle drei Dimensionen.

Mehr zu Boardpad finden Sie hier: http://www.boardpad.de/ 
Treffen Sie ICSA Boardroom Apps beim Confare CIO SUMMIT - www.ciosummit.at

The 3 key areas where the CIO can really make an impact - Interview with Stephen Little, Global CIO of XEROX corp.

Digitalization and rapid changes in Business force companies to act fast and to strengthen their innovation skills. The CIO role changes from providing commodity services for the business Units to being a true partner in the roll out of new ideas and business models.

Stephen Little is Global CIO of XEROX Corporation. In our Blog interview he tells us, how he deals with trending topics as cl 
oud, social media and mobile and how he sees the role of the CIO in the coming years.

What role does the CIO have in the value chain of the Company?

• A pivotal, strategic role. IT touches every aspect of business. From keeping business operations running smoothly and securely to simplifying global business processes that improve the customer experience. The CIOs role has evolved to become catalysts of change. But they can’t do it alone. True transformation happens when business leaders trust each other, co-develop strategies that makes sense, then partner together to execute and deliver results.

• CIOs see the big picture. They make decisions based on long-term results, versus point in time solutions. This is critical as market demands change and business models evolve.

What are the 3 key areas where the CIO can make an impact?

• Deliver global business process automation and efficiency through strong business partnerships and governance
• Reduce information security risk
• Provide disciplined program management and execution across the enterprise

How do cloud, mobile and social media affect the company and the CIO´s role?

• Cloud. For me, cloud is a deployment option where it makes sense. It has to work for the business long term and support the global growth strategy for the enterprise. Based on the strategic fit, it’s a business enabler for us – delivering speed, flexibility and cost advantages.

• Mobile and Social Media. IT enables mobile and social media solutions globally. From solution sourcing to implementation and ongoing service delivery and support. Employees bring their devices to work, and we help them connect those devices securely. In terms of social media, it’s a game changer in remaining relevant with our customers and fostering internal collaboration to improve productivity. IT is the lever to make it happen.

Back to the importance of partnership. Marketing must be on the cusp of improving the client experience, understanding the buyers’ journey and remaining relevant. That means that we must work together to ensure important customer data is managed effectively and securely. It also requires an ongoing partnership between the CIO and CMO to deliver cost effective IT solutions that enable their business, without added complexity and customization.

What does it take for the CIO to lever innovation?

• It takes commitment. My approach was to initiate and fund a program that fosters innovative thinking and results in IT. We provide grant awards to individuals who demonstrate a viable business case and demonstrate that their solution will address a core challenge or need the business faces. Winners are encouraged to collaborate across the company to execute on their concepts. We advocate continued effort – fail fast if it’s not working, and find new ways to achieve the desired outcomes. 

• There is a formal partnership in place with our global Research and Development group/Innovation organization in the company. We collaborate together to test new products and solutions for market readiness and in turn, deliver additional value from our IT innovation program…handing off projects that are ready to go to the next level.

• Being innovative doesn’t always have to be in technology. Very often, it is in finding new, creative approaches to solving complex business challenges. We see this within our large scale business transformation initiatives, where we look at existing areas of investment to build out our capabilities.

Stephen Little is Keynote Speaker at the 8^th Confare CIO SUMMIT on March 25th in Vienna – Meet him and 300 more IT executives at www.ciosummit.at

Bis der Arzt kommt … Die 3 wichtigsten Bedrohungen für die Gesundheit der IT

Vorsorgemedizin boomt und wirkt sich nachweislich positiv auf die Gesundheit der Bevölkerung aus. Eher nachlässig wird indes die „Gesundheit von IT-Systemen“ behandelt, gerade in Zeiten von Kostendruck und steigender Komplexität. Während die Abhängigkeit der Unternehmen von der IT immer mehr steigt, wachsen gleichzeitig auch die Bedrohungen. Der Ziviltechniker Dr. Wolfgang Prentner (ZT-PRENTNER-IT GmbH) ist Spezialist für Computer Forensik und IT-Sicherheit und versteht sich oft als Notfallmediziner in der IT. Im Gespräch gibt der Spezialist Auskunft über jene Vorbeugemaßen, die zur Gesundheitsfürsorge in der IT notwendig wären.

Wo sehen Sie denn die 3 schlimmsten Gesundheitsbedrohungen für die Unternehmens-IT?

Mehrere Faktoren kommen zur Zeit gleichzeitig zum Tragen:

(1) Die IT Landschaft ist hoch komplex und neue, moderne Technologien werden eingesetzt. Mobile Endgeräte, Cloud Services und Virtualisierung verändern die Nutzung und die Erwartungen an IT-Systeme. Um agil und rasch im Wettbewerb zu agieren, wird Software in immer kürzeren Abständen entwickelt, zumeist nicht ausreichend getestet und  von Qualitätssicherung sowie Dokumentation ist keine Rede. Dadurch schleichen sich immer mehr Fehler in die Software ein mit zum Teil fatalen Folgen im Bereich der System-Zuverlässigkeit als auch im Bereich der Sicherheit. Beispiele dafür sind die falsche Verbuchung von Geldbeträgen auf Privat- und Firmenkonten sowie die Einsicht in fremde Konten beim Online-Banking oder der Supergau der heuer stattfand im Zusammenhang mit dem  „Heartbleed Software-Fehler“. Dieser ermöglichte direkt den Hauptspeicher von mehreren Millionen sicherheitskritischen Computersystemen auszulesen.

(2) Unternehmen sind immer mehr von Spezialisten und Dienstleistern abhängig. Dabei kommen die Dienstleistungen zu 99% nicht aus einer Hand sondern von einer Heerschar von Dienstleistern für z.B. Hardware, Betriebssystemen, Infrastruktur, ERP, CMS, Storage, für Installation, Wartung und Betrieb. Dies führt dazu, dass bei Problemen mit der IT, keine rasche und zielgerichtete Lösung des Problems vorliegt, sondern das Problem zumeist wie eine heiße Kartoffel im Kreis geschickt wird. Die Rechnung zahlt dann der Auftraggeber.

(3) Ein Basisschutz ist zumeist in den Unternehmen und Behörden vorhanden. Das wissen auch die Angreifer. Ein erhöhter Schutz auf Basis einer Risikoanalyse kostet zumeist nicht doppelt so viel wie man vermuten würde, sondern erhöht die Kosten um einen Faktor 10 bis 100 (!). Mit diesem exponentiellen Anstieg der Kosten und des Aufwandes sind die meisten Organisationen überfordert, das macht sie verwundbar. Aber auch dieser Schwäche sind sich Cyber-Kriminelle bewusst.  

Was sind die gängigsten Angriffsziele?

Die Angriffsziele sind breit gefächert. Primär geht es um Geld. Privatpersonen sind genauso lohnende Ziele, wie kleinere Unternehmen oder Konzerne. Immer noch gelingt es, blauäugigen Privatpersonen mit plumpen beziehungsweise simplen und altbekannten aber perfektionierten Methoden beträchtliche Summen abzuknöpfen, sei es mit Spam, Phishing oder fingierten Anrufen. Das Vorgehen bei Angriffen auf Konzerne ist meistens komplexer da das Sicherheitsniveau wesentlich höher ist. Allerdings ist hier auch mehr zu holen.

Inwieweit muss man sich als Unternehmen vor Cyber Kriminellen schützen?

Cyber Kriminalität hat sich zum Big-Business mit Milliarden Umsätzen entwickelt. Das Vertrauen in die Informationstechnologie ist mehr denn je durch die in den letzten Tagen, Monaten und Jahren aufgedeckten kriminellen Handlungen erschüttert – dahinter stecken mafiose Strukturen und natürlich auch staatliche Spionageaktivitäten. Man denke an den  aktuellen Fall des Trojaners Regin, bei dem die Vermutung nahe liegt, dass er aus dem Umfeld staatlicher Organisationen kommt.

Der Schutz vor Cyber Kriminellen kann zum Teil durch eine gut gewartete IT Landschaft und konkrete Abwehrmechanismen sichergestellt werden. Auch eine unabhängige und regelmäßige Überprüfung des Sicherheitsniveaus von Unternehmen und Behörden hilft.

Der zentrale Angriffs-Faktor ist jedoch weiterhin der Mensch selbst, der die Systeme, die ihm zur Verfügung gestellt werden nur unzureichend versteht und aus diesem mangelnden Verständnis heraus, aus Bequemlichkeit oder fehlendem Risiko-Bewusstsein heraus Fehler macht. Es gilt: „culture eats strategy“, die beste Sicherheitsstrategie hilft nichts, wenn die Unternehmenskultur im Punkto Sicherheit unterbelichtet ist. Awareness Maßnahmen, Information, Diskussion und Schulung sind hier von entscheidender Bedeutung.

 Was ist bei Gesundheitsvorsorge für die IT zu beachten?

Bei der Gesundheitsvorsorge für die IT ist zu beachten dass die strategischen IT-Ziele mit genügend Ressourcen, Know-how und Geldmitteln bestückt werden und mit den richtigen Partnern verfolgt werden. IT-Dienstleister glänzen oft in der Akquise, letztendlich sind sie aber eher dem eigenen Unternehmenserfolg verpflichtet als dem der Kunden. Wichtig ist dabei, sich nicht nur das Leistungspaket und die attraktiven Preise anzusehen, sondern auch zu prüfen, was passiert, wenn etwas passiert. So dass Sie im Fall des Falles nicht im Stich gelassen werden. Hier ist es unter Umständen unabhängige Dritte ins Boot zu holen, um die eine objektive Einschätzung der Lage zu erhalten.

Als Referent steht der Fachmann Wolfgang Prentner auf dem 8. Confare CIO & IT-Manager Summit für Fragen zur Verfügung, wo am 25. und 26. März in Wien auch die besten IT-Manager des Jahres ausgezeichnet werden. Anmeldungen und Details auf www.ciosummit.at
  (