Cyber Crime: Auf Ernstfall vorbereiten!

DI Gerald Kortschak ist CEO der sevian 7 IT Development GmbH sowie zertifizierter Data & IT-Security Expert, und Vorstandsmitglieder der AT Styria. Wir haben Ihn exklusiv zu den Themen Cyber- und IT-Sicherheit im Kurzinterview befragt.

Sie bieten unter anderem Planspiele zur Simulation von Extremsituationen als Dienstleistung an. Dieses Angebot wurde auch für Unternehmen der Sparte Industrie der WKO Steiermark im Jahr 2019 angeboten. Auch einige AT Styria – Mitglieder nahmen daran teil. Ist so etwas wieder geplant, und warum ist dies aus Ihrer Sicht so wichtig?

Ja, es ist wieder geplant ein Planspiel für Mitglieder der AT Styria und Sparte Industrie anzubieten, und wir warten im Moment eigentlich nur auf einen geeigneten Zeitpunkt. Es nahmen beim letzten Planspiel auch einige Unternehmen teil, die schon von einem Angriff betroffen waren. Bei einem Planspiel in Bezug auf Cyber Crime versuchen wir die Unternehmen auf den Ernstfall vorzubereiten. Das Risiko eines Angriffs besteht immer, und wir beleuchten die Frage „Was tue ich, wenn es wirklich passiert?“. Das Planspiel soll auf realitätsnahmen Wege Diskrepanzen darstellen, bietet aber gleichzeitig die Möglichkeit, Lücken zu schließen und neue Prozesse zu definieren. Wir helfen den Unternehmen dabei Prioritäten zu setzen und was, wann, wie und von wem zu tun ist, um zeitnah eine kritische Situation zu lösen. Die Prioritäten sind für die Teilnehmer:innen natürlich unterschiedlich. Konsequenzen-Management ist hier das Schlagwort. Das schönste Feedback ist, wenn Unternehmen im Ernstfall möglichst rasch und zielgerichtet aufgrund Ihrer Erfahrungen im Planspiel reagieren können, und somit das allerschlimmste verhindern können.

Warum sind Ihrer Meinung nach Hacker-Angriffe so verheerend, und welchen Lösungsansatz haben Sie für dieses Problem?

Hacker setzten da an, wo es Ihren Opfern wirtschaftlich wirklich weh tut. In erster Linie müssen sich Unternehmen wieder fragen „Was sind meine Prioritäten?“. Darauf aufbauend können die IT-Systeme sicher gestaltet werden. Die „Furcht vor der IT“ muss weichen – ein offener und ganzheitlicher Austausch zwischen Techniker und Nicht-Techniker ist der Schlüssel. Es gibt viele Dienstleister, die sich auf Sicherheit spezialisiert haben. Diese findet man zB auf der Cyber-Security Hotline der WKO (www.cys.at) oder unter den Mitgliedern der IT-Security ExpertsGroup. Meine Empfehlung für Unternehmen ist es, solche Dienstleistungen als Bindeglied zwischen der IT – egal ob intern, oder extern – und der Geschäftsführung einzusetzen. Es hilft wenig sich um einzelne Lösungsansätze zu bemühen und dabei die Cyber- und IT-Sicherheit des Unternehmens als Ganzes aus den Augen zu verlieren. Ein Unternehmen sollte wie ein Haus betrachtet werden, wenn es keinen Architekten gibt, geht die Planung schief. Wir verfolgen eben genau diesen ganzheitlichen Ansatz für ein erfolgreiches System-Engineering, um diese (Informations-)Asymmetrie der Beteiligten aufzubrechen.

Speziell im Hinblick auf die Automatisierungstechnik wird IT-Sicherheit mit zunehmender Vernetzung immer wichtiger. Welche Schwierigkeiten sehen Sie hier für die Branche der Automatisierungstechnik?

Automatisierungs-Systeme werden immer wichtiger. Hacker- und Verschlüsselungsangriffe führten in der Vergangenheit zu ganzen Produktionsausfällen. Der Automatisierungs-Regelkreis ist schon lange nicht mehr getrennt, die System-Komplexität nimmt ebenfalls ständig zu. Zum Teil laufen auf Anlagen „alte, gehärtete“ Systeme, die optimal für die Maschinensteuerung sind, jedoch grundlegende Sicherheitslücken bieten, wenn diese vernetzt sind. Die Offenheit dieser Systeme ist da. Auch bei neueren Anlagen, oder Innovationen in anderen Branchen bestehen diese Lücken. Oft wird das Problem auch von den Herstellern nicht erkannt, oder es erfolgt keine Aufklärung gegenüber Kunden. Dieses Thema endet nicht in der Industrie, sondern setzt sich beispielsweise bis in die Anwendungsbereiche der Automatisierungstechnik in der Medizintechnik fort. Die Vernetzung ist so weit fortgeschritten, dass wir eine Insulinpumpe mit dem Smartphone steuern könnten. Was aber nicht bedacht wird, ist die Angreifbarkeit dieser offenen Systeme. Dies zeigt auch der naive Umgang zum Teil von Herstellern, oder Nutzer:innen, solcher Geräte. Eine größere Awareness von Kunden und Anbietern ist hier gefordert.

Was sind Ihrer Meinung nach wichtige Faktoren für eine erfolgreiche Zukunft speziell um Cyber- und IT-Sicherheit in der Automatisierungstechnik zu gewährleisten?

AT und IT haben den gleichen Ursprung. Die vorangegangene Spezialisierung auf verschiedenste Bereiche hat Meiser unterschiedlichster Fächer hervorgebracht. Es besteht jedoch eine gefährliche Asymmetrie zwischen AT und IT in der Softwareprogrammierung – hier wird oft das große Ganze übersehen. Mehrere Optionen müssen miteinander verbunden werden! Egal ob man dies nun Secure Coding, Secure Development, oder anders nennen möchte – ein holistisches Networking ist notwendig, um diese Branchen nicht noch weiter auseinander driften zu lassen, und um somit auch gemeinsam erfolgreich zu sein.

Herzlichen Dank für das Interview!

DI Gerald Kortschak, BSc., CMC
Certified Data & IT-Security Expert
T: 0043 316 713948 Mail: gkortschak@sevian7.com

Diese Seite verwendet Cookies

Ohne Ihre Zustimmung verwenden wir nur Cookies, die für die Funktion der Webseite notwendig sind. Wenn Sie auf „Alle akzeptieren“ klicken, verwenden wir zielorientierte Cookies zu Analysezwecken und um für Sie relevante Inhalte anzuzeigen. Um Ihnen darüber hinaus eine angenehme Online-Journey zu bieten, werden weitere Cookies für Marketingzwecke und Optimierungszwecke gesetzt. Dazu verarbeiten wir und ausgewählte Partner personenbezogene technische Daten. Eine Auflistung der Partner und nähere Informationen zu den Cookies finden Sie in unserer Datenschutzerklärung. Unter „Einstellungen“ können Sie Ihre Cookie-Präferenzen jederzeit ändern.

Bitte beachten Sie, dass wir auch Cookies von US-amerikanischen Unternehmen einsetzen, welche sich nicht dem Datenschutzabkommen zwischen EU-USA unterworfen haben. Wenn Sie der Cookie-Setzung zustimmen, gelangen Ihre durch die Cookies erhobenen personenbezogene Daten auch an Unternehmen in den USA, bei welchen Ihre Daten keinem dem EU-Datenschutzrecht angemessenen Schutzniveau unterliegen, Sie nur eingeschränkte, bis keine datenschutzrechtliche Rechte genießen und insbesondere auch die US-amerikanische Regierung Zugang zu diesen Daten erlangen kann.

Cookie-Einstellungen

Hier können Sie der Setzung einzelner Cookies, die auf dieser Domain und ihren Subdomains verwendet werden, zustimmen oder ablehnen. Sie können Ihre Cookie-Einstellungen jederzeit ändern, nutzen Sie dazu bitte den Link „Cookie-Einstellungen“ im Footer der Webseite neben dem Link zur Datenschutzerklärung, aus der Sie nähere Informationen zur Nutzung unserer Webseite und den Cookies dem Unterpunkt 1.3.6 entnehmen können. Bitte beachten Sie, dass wir auch Cookies von US-amerikanische Unternehmen einsetzen, welche sich nicht dem Datenschutzabkommen zwischen EU-USA unterworfen haben. Wenn Sie deren Setzung zustimmen, gelangen Ihre durch die Cookies erhobenen personenbezogenen Daten auch an Unternehmen in den USA, bei welchen Ihre Daten keinem dem EU-Datenschutzrecht angemessenen Schutzniveau unterliegen, Sie nur eingeschränkte, bis keine datenschutzrechtliche Rechte genießen und insbesondere auch die US-amerikanische Regierung Zugang zu diesen Daten erlangen kann.

Die Ausspielung dieser zustimmungspflichtigen Cookies erfolgt durch den Google Tag Manager. Wenn Sie daher einem der unten aufgelisteten Cookies zustimmen, so stimmen Sie auch zu, dass die Ausspielung über den Google Tag Manager erfolgt. Wenn Sie keine Cookies oder den Google Tag Manager wünschen, dann klicken Sie bitte auf Button „Alle ablehnen“.

Notwendig

immer aktiv

Notwendige Cookies sind für das ordnungsgemäße Funktionieren der Website unbedingt erforderlich. Diese Cookies gewährleisten anonym grundlegende Funktionsweisen und Sicherheitsfeatures der Website.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wordpress_logged_in_*	Session	Login Handling Ermöglicht Aufruf geschützter Seiten.
wordpress_sec_*	Session	Login Handling Ermöglicht Aufruf geschützter Seiten.
wordpress_test_cookie	Session	Cookie, um das Setzen von Cookies zu überprüfen

Analytik

Analytische Cookies werden verwendet, um zu verstehen, wie Besucher mit der Website interagieren. Diese Cookies helfen dabei, Informationen über die Anzahl der Besucher, Absprungrate, Verkehrsquelle usw. zu liefern.

Cookie	Dauer	Beschreibung
_ga	2 Jahre	Beinhaltet eine zufallsgenerierte User-ID, anhand derer Google Analytics wiederkehrende Besucher auf unseren Webseiten wiedererkennen und mit Daten von früheren Besuchen zusammenführen kann.
_ga_4DQVPGZDS1	2 Jahre	Enthält eine zufallsgenerierte User-ID. Anhand dieser ID kann Google Analytics wiederkehrende User auf dieser Website wiedererkennen und die Daten von früheren Besuchen zusammenführen.
_gcl_au	90 Tage	Dieses Cookie wird von Google gesetzt, wenn ein User über einen Klick auf eine Google Werbeanzeige auf die Website gelangt. Es enthält Informationen darüber, welche Werbeanzeige geklickt wurde, sodass erzielte Erfolge wie z.B. Bestellungen oder Kontaktanfragen der Anzeige zugewiesen werden können.