OUT NOW im #Confare Blog mit Markus Kasinger – Blackouts und Cybersecurity
Wenigen ist wohl bewusst, welche bedeutende Rolle das Unternehmen Austrian Power Grid für die Stabilität und Sicherheit des österreichischen Stromnetzes hat. Durch Planung, Lastenausgleich und Monitoring wird hier buchstäblich tagtäglich der viel zitierte Blackout verhindert. Eine ohnehin anspruchsvolle Aufgabe, die zwischen Ukraine Krieg und Energiewende an zusätzlicher Brisanz gewinnt. Markus Kasinger hat als CIO hier einen Spagat zu bewältigen. Es gilt die unumgängliche Digitale Transformation der Branche und des Unternehmens voran zu bringen und gleichzeitig den Anforderungen von Sicherheit und Compliance gerecht zu werden.
In der Recherche für das kommende Confare Factsheet „Cyber Security Update 2023“, das Confare in Zusammenarbeit mit T-Systems Austria veröffentlicht, haben wir mit Markus über die aktuellen Herausforderungen der Energiebranche, Resilienz und die akuten Cybersecurity Bedrohungen gesprochen.
Kein Factsheet verpassen? Einfach das Confare Factsheet Abo bestellen!
Markus und mehr als 500 hochkarätige CIOs und CISOs der DACH Region sind bereits angemeldet beim Confare #CIOSUMMIT, dem größten und wichtigsten IT-Management Treffpunkt des Jahres. Haben Sie schon Ihren Platz gesichert?
Was tut man eigentlich bei Austrian Power Grid? Im Video gibt es die Antwort:
Inflation, Pandemie, Krieg – Welche Herausforderungen bringen die aktuellen Unabwägbarkeiten für die Unternehmens-IT?
Als Betreiber des österreichischen Hochspannungsnetzes, und damit von Österreichs kritischster Infrastruktur, sind wir für die sichere Stromversorgung im ganzen Land verantwortlich. Dabei erleben wir aktuell eine besonders herausfordernde Zeit.
Die Entwicklungen der Strom- und Energiepreise sowie die geopolitischen Entwicklungen in der Ukraine zeigen, wie wichtig eine rasche und sichere Transformation zu einem nachhaltigen Energiesystem ist. Dazu braucht es eine umgehende Gesamtsystemplanung, entsprechende Kapazitäten in den Bereichen Netze, Speicher, Produktion und eine umfassende Digitalisierung zur Nutzung der Flexibilitäten aller Akteure des Systems.
Als Enabler der digitalen Transformation kommt unserer IT hier eine wesentliche Rolle zu. Der Spannungsbogen in Zeiten wie diesen erstreckt sich dabei von Unsicherheiten in der Beschaffung bis hin zu unmittelbar ausgesprochenen Bedrohungen gegen kritische Infrastruktur aus dem Cyberraum.
Dabei haben wir in der IT zum einen das Glück uns auf eine krisenerprobte Organisation mit eingespielten Mechanismen stützen zu können. Zum anderen bemühen wir uns um eine möglichst widerstandsfähige Infrastruktur und investieren stark in den Bereich Cybersecurity. Uns ist bewusst, dass ein ggf. staatlicher Angreifer mit einem großangelegten, langatmigen Angriff ein bedeutendes Risiko darstellt.
Den Unabwägbarkeiten in der Beschaffung versuchen wir mit einer besonders vorausschauenden Planung zu begegnen. In Situationen, wo das einmal nicht gereicht hat, haben unsere Kunden, die Mitarbeiter:innen viel Verständnis mitgebracht.
In der APG und besonders auch in der IT sehen wir uns als eine Familie mit einer Mission: „Die sichere Stromversorgung in Österreich weiterhin zu gewährleisten und die Energiewende zu ermöglichen“. Gerade in solchen Zeiten spürt man die Familie und den Schulterschluss besonders, man rückt noch enger zusammen und der persönliche Anteil am Erfolg wird für Jede(n) vielleicht nochmal deutlicher.
Besonders erfreulich ist, wenn die Kapazitäten sogar reichen, Anderen zu helfen. So konnten wir in der Pandemie dem St. Anna Kinderspital mit ausgemusterten Laptops unter die Arme greifen. In der Ukraine-Krise gelang es unseren Experten gemeinsam mit den internationalen Kollegen ein Konzept zu entwickeln, das beim Anschluss der Ukraine ans europäische Netz einen sicheren Datenaustausch gewährleistete, ohne die eigene Cybersicherheit und damit auch die sichere Stromversorgung zu gefährden. Die Kommunikation mit den ukrainischen Kollegen sorgte bei unserem Infrastruktur-Team für Gänsehaut-Momente.
Widerstandskraft (also Resilienz) ist in unsicheren Zeiten zu einem entscheidenden Faktor für die Unternehmens-IT geworden. Was sind die wichtigsten Faktoren dabei?
Bereits vor vielen Jahren haben bekannte Analysehäuser den Begriff Resilienz gepredigt: Sich der Annahme zu nähern, dass alle vorbeugenden und verteidigenden Maßnahmen nicht ausreichend sind und der schlimmstmögliche Fall tatsächlich eintritt, um mit dieser Situation dann souverän umgehen zu können. Es geht darum, sich auf diesen Worst Case vorzubereiten, ihn zu simulieren und zu beüben, um in der Realität solche Situationen rasch sanieren zu können.
Das betrifft nicht nur die IT sondern das ganze Unternehmen. Die IT sorgt für eine resiliente Infrastruktur und beübt regelmäßig Ausfalls- und Wiederherstellungsszenarien. Für die Dauer der Wiederherstellung braucht das Unternehmen aber alternative, möglicherweise sogar vereinzelt analoge Prozesse sowie ein eingespieltes Krisenmanagement. Eine gute Vorbereitung ermöglicht in der Krise ein Steuern mit ruhiger Hand.
Welche Rolle kommt der Cyber Security zu, wenn es um Resilienz geht?
Die Cybersecurity hilft in der Vorbereitung, bringt ihre Sichtweisen und Prozesse ein. Sie bereitet sich bestmöglich auf die „Response“ vor und kann Teile der Analyse- und Reaktionsprozesse automatisieren (vgl. „SOAR“).
Im Fall von konkreten Sicherheitsvorfällen beeinflusst die Effizienz der Vorfallsreaktion maßgeblich die gesamtheitliche Resilienz des Unternehmens. Wirksame Maßnahmen zur Wiederherstellung eines Normalbetriebs können erst starten, wenn die maßgeblichen Teile der Vorfallsreaktion abgeschlossen sind (Scoping, Containment, Eradication).
Um wirksam zu werden, braucht die Cybersecurity möglichst viel Informationen und eine möglichst gute Kenntnis über die Geschäftsprozesse, die Systeme, die Zusammenhänge. Die IT Enterprise Architektur erfährt hier eine neue Bedeutung.
In der Krise spielt auch die Forensik eine große Rolle: Welchen Systemen können wir guten Gewissens noch trauen? Die Beantwortung dieser Frage hat einen signifikanten Einfluss auf die Wiederherstellungszeit.
Welche sind die wichtigsten Compliance und Regulierungstrends 2023? Worauf müssen CIOs und CISOs achten?
An anderer Stelle habe ich bereits darauf hingewiesen, dass Compliance und Cybersecurity manchmal diametrale Ziele verfolgen (vgl. Veröffentlichung von Ausschreibungsergebnissen und Angreifbarkeit über die Supply Chain). Es ist Aufgabe des Gesetzgebers hier eine sinnhafte Vorrangregel zu installieren. Meine persönliche Sicht ist, dass die Cybersecurity von kritischsten Infrastrukturen immer Vorrang haben muss, weil der potenzielle Impact auf die Bevölkerung und den Staat ein deutlich höherer ist. Die Compliance im obigen Fall könnte man auch über alternative Prozesse (zB persönliche Einsicht über öffentliche Stelle) realisieren.
Zu den wichtigsten Neuerungen zählt für uns NIS2 aber auch der Cyber Resilience Act und speziell für die Energiebranche der Network Code on Cybersecurity. Wir begrüßen den stärkeren Fokus auf die Zulieferkette, die Supply Chain. Viele große Hacks der Geschichte sind über den oft kleineren und Cybersecurity-schwächeren Zulieferer erfolgt.
Dabei droht meiner Meinung nach eine besonders große Gefahr aus der Software-Zulieferungsecke. Zuverlässig ein Stück eingeschleusten malicious Sourcecode zu erkennen, ist eine noch ungelöste Herausforderung für die Cybersecurity-Industrie.
Ergänzend zu NIS2 sehen wir den Cyber Resilience Act, der sich der Sicherheit von Hardware- und Software-Produkten widmet.
Zu guter Letzt erwarten wir noch den Branchenspezifischen Network Code on Cybersecurity, dessen Gestaltung wir aktiv mitverfolgen.
Wie verändern sich die Rollenbilder von CIO und CISO, wenn es um Cyber Security 2023 geht?
In der APG trennen wir die Aufgaben von CIO und CISO gemäß dem staatlichen Vorbild in Legislative (CISO mit Information Security) und Exekutive (CIO mit Security Operations Center).
Die Zusammenarbeit zwischen den Teams ist ein leuchtendes Beispiel für funktionierende, abteilungsübergreifende, interdisziplinäre Kollaboration. Persönlich schätze ich die Zusammenarbeit mit unserem CISO sehr, wir haben ein sehr ähnliches Mindset. Eine gute Chemie ist essenziell für den Erfolg.
Für beide Rollen gilt, dass ein tiefes Businessverständnis und der Enablement-Gedanke essentiell sind. Deshalb werden sich beide Rollenbilder zukünftig weiter annähern. Zusätzlich ist ein tiefes inhaltliches Verständnis der jeweils anderen Domäne, wesentlich für den gemeinsamen Erfolg. Hardliner stehen wohl schnell alleine da und werken unwirksam.
Agilität, Kundenorientierung und Geschwindigkeit sind Erfolgsfaktoren in einem hoch dynamischen Umfeld. Wie lässt sich das mit Forderung nach Stabilität, Widerstandsfähigkeit und Sicherheit unter einen Hut bringen?
Auf den ersten Blick stehen sich hier ein Formel1-Wagen und ein Geländewagen gegenüber. Die meisten Menschen wählen etwas dazwischen.
Wir dürfen aber nicht übersehen, dass auch das Formel1-Auto eine sehr hohe Stabilität, Widerstandsfähigkeit und Sicherheit für seinen Einsatzzweck aufweist. Es kommt also auf den Kontext an. Diesen für das eigene Unternehmen, die eigene Mission zu erkennen und den Überlappungsbereich zu maximieren, ist das hehre Ziel.
So haben wir zum Beispiel die Modernisierung der IT mit einer Einbindung der Cybersecurity von Stunde Null an realisiert. Die Einführungsgeschwindigkeit hat etwas gelitten aber Widerstandsfähigkeit und Sicherheit sind ungleich höher. Ein kleines Startup wird anders agieren als eine kritische Infrastruktur. Der unternehmerische Kontext gibt vor, wo der Schieberegler stehen soll.