Cyber Crime: Auf Ernstfall vorbereiten!
DI Gerald Kortschak ist CEO der sevian 7 IT Development GmbH sowie zertifizierter Data & IT-Security Expert, und Vorstandsmitglieder der AT Styria. Wir haben Ihn exklusiv zu den Themen Cyber- und IT-Sicherheit im Kurzinterview befragt.
Sie bieten unter anderem Planspiele zur Simulation von Extremsituationen als Dienstleistung an. Dieses Angebot wurde auch für Unternehmen der Sparte Industrie der WKO Steiermark im Jahr 2019 angeboten. Auch einige AT Styria – Mitglieder nahmen daran teil. Ist so etwas wieder geplant, und warum ist dies aus Ihrer Sicht so wichtig?
Ja, es ist wieder geplant ein Planspiel für Mitglieder der AT Styria und Sparte Industrie anzubieten, und wir warten im Moment eigentlich nur auf einen geeigneten Zeitpunkt. Es nahmen beim letzten Planspiel auch einige Unternehmen teil, die schon von einem Angriff betroffen waren. Bei einem Planspiel in Bezug auf Cyber Crime versuchen wir die Unternehmen auf den Ernstfall vorzubereiten. Das Risiko eines Angriffs besteht immer, und wir beleuchten die Frage „Was tue ich, wenn es wirklich passiert?“. Das Planspiel soll auf realitätsnahmen Wege Diskrepanzen darstellen, bietet aber gleichzeitig die Möglichkeit, Lücken zu schließen und neue Prozesse zu definieren. Wir helfen den Unternehmen dabei Prioritäten zu setzen und was, wann, wie und von wem zu tun ist, um zeitnah eine kritische Situation zu lösen. Die Prioritäten sind für die Teilnehmer:innen natürlich unterschiedlich. Konsequenzen-Management ist hier das Schlagwort. Das schönste Feedback ist, wenn Unternehmen im Ernstfall möglichst rasch und zielgerichtet aufgrund Ihrer Erfahrungen im Planspiel reagieren können, und somit das allerschlimmste verhindern können.
Warum sind Ihrer Meinung nach Hacker-Angriffe so verheerend, und welchen Lösungsansatz haben Sie für dieses Problem?
Hacker setzten da an, wo es Ihren Opfern wirtschaftlich wirklich weh tut. In erster Linie müssen sich Unternehmen wieder fragen „Was sind meine Prioritäten?“. Darauf aufbauend können die IT-Systeme sicher gestaltet werden. Die „Furcht vor der IT“ muss weichen – ein offener und ganzheitlicher Austausch zwischen Techniker und Nicht-Techniker ist der Schlüssel. Es gibt viele Dienstleister, die sich auf Sicherheit spezialisiert haben. Diese findet man zB auf der Cyber-Security Hotline der WKO (www.cys.at) oder unter den Mitgliedern der IT-Security ExpertsGroup. Meine Empfehlung für Unternehmen ist es, solche Dienstleistungen als Bindeglied zwischen der IT – egal ob intern, oder extern – und der Geschäftsführung einzusetzen. Es hilft wenig sich um einzelne Lösungsansätze zu bemühen und dabei die Cyber- und IT-Sicherheit des Unternehmens als Ganzes aus den Augen zu verlieren. Ein Unternehmen sollte wie ein Haus betrachtet werden, wenn es keinen Architekten gibt, geht die Planung schief. Wir verfolgen eben genau diesen ganzheitlichen Ansatz für ein erfolgreiches System-Engineering, um diese (Informations-)Asymmetrie der Beteiligten aufzubrechen.
Speziell im Hinblick auf die Automatisierungstechnik wird IT-Sicherheit mit zunehmender Vernetzung immer wichtiger. Welche Schwierigkeiten sehen Sie hier für die Branche der Automatisierungstechnik?
Automatisierungs-Systeme werden immer wichtiger. Hacker- und Verschlüsselungsangriffe führten in der Vergangenheit zu ganzen Produktionsausfällen. Der Automatisierungs-Regelkreis ist schon lange nicht mehr getrennt, die System-Komplexität nimmt ebenfalls ständig zu. Zum Teil laufen auf Anlagen „alte, gehärtete“ Systeme, die optimal für die Maschinensteuerung sind, jedoch grundlegende Sicherheitslücken bieten, wenn diese vernetzt sind. Die Offenheit dieser Systeme ist da. Auch bei neueren Anlagen, oder Innovationen in anderen Branchen bestehen diese Lücken. Oft wird das Problem auch von den Herstellern nicht erkannt, oder es erfolgt keine Aufklärung gegenüber Kunden. Dieses Thema endet nicht in der Industrie, sondern setzt sich beispielsweise bis in die Anwendungsbereiche der Automatisierungstechnik in der Medizintechnik fort. Die Vernetzung ist so weit fortgeschritten, dass wir eine Insulinpumpe mit dem Smartphone steuern könnten. Was aber nicht bedacht wird, ist die Angreifbarkeit dieser offenen Systeme. Dies zeigt auch der naive Umgang zum Teil von Herstellern, oder Nutzer:innen, solcher Geräte. Eine größere Awareness von Kunden und Anbietern ist hier gefordert.
Was sind Ihrer Meinung nach wichtige Faktoren für eine erfolgreiche Zukunft speziell um Cyber- und IT-Sicherheit in der Automatisierungstechnik zu gewährleisten?
AT und IT haben den gleichen Ursprung. Die vorangegangene Spezialisierung auf verschiedenste Bereiche hat Meiser unterschiedlichster Fächer hervorgebracht. Es besteht jedoch eine gefährliche Asymmetrie zwischen AT und IT in der Softwareprogrammierung – hier wird oft das große Ganze übersehen. Mehrere Optionen müssen miteinander verbunden werden! Egal ob man dies nun Secure Coding, Secure Development, oder anders nennen möchte – ein holistisches Networking ist notwendig, um diese Branchen nicht noch weiter auseinander driften zu lassen, und um somit auch gemeinsam erfolgreich zu sein.
Herzlichen Dank für das Interview!
DI Gerald Kortschak, BSc., CMC
Certified Data & IT-Security Expert
T: 0043 316 713948 Mail: gkortschak@sevian7.com