Die Lage hat sich auf äusserst tiefem Passagierniveau stabilisiert, die technischen und finanziellen Aufgaben sind vorerst abgeschlossen. Wir sind überzeugt, dass wir unternehmerisch und ohne Staatshilfe (bis auf Kurzarbeit) die Krise durchstehen. Die IT-Infrastrukturen selbst laufen auf Hochtouren, die Migrationen, Plattformaufbauten und Grossbaustellen (The Circle) arbeiten voll weiter. 90% der Mitarbeiter sind im Home-Office – eine Lage die wohl die meisten von uns noch vor wenigen Wochen für unwahrscheinlich gehalten haben, aber es ist sehr schön zu sehen wie die Kolleginnen und Kollegen in der Krise zusammenhalten und wir da gemeinsam durchgehen.
So beschreibt der IT-Chef des Flughafen Zürich die aktuelle Lage eines Unternehmens, das in Zeiten, in denen der Flugverkehr nicht durch eine Pandemie lahmgelegt wurde, 31,5 Mio. Passagiere betreut hat, auf einem Standort, von dem aus weltweit 203 Flughäfen in 38 Ländern angeflogen wurden. Die Kunden sind es, die ein Unternehmen erfolgreich machen, das ist Konrads Überzeugung, und ihre Daten und ihre physische Sicherheit gilt es zu schützen. Konrad Zöschg wurde 2018 von Confare als #TopCIO des Jahres ausgezeichnet. Im Blog-Interview wollten wir von ihm wissen, wie er strategisch, technisch und menschlich mit der Herausforderung Cyber Security umgeht.
9. Confare Swiss CIO & IT-Manager Summit
Treffen Sie zahlreiche weitere hochkarätige IT-Manager beim 9. Confare Swiss CIO Summit am 15. September in Zürich.
*Für CIOs und IT-Manager ist die Teilnahme mit keinen Kosten verbunden
Welche Rolle spielt Cyber Security für den Unternehmenserfolg tatsächlich?
Massnahmen rund um Cyber Security sind eine von vielen Säulen, um die Systemstabilität gegen Einwirkung von Aussen zu schützen. Dabei geht es uns darum das“ System Flughafen“ bezogen auf Datenintegrität und Verfügbarkeit zu schützen. Auch der Schutz für kritische Safety und Security Einrichtungen gehört hier dazu. Die Vorgaben des Regulators, in unserem Fall das Bundesamt für Zivilluftfahrt, gibt uns da eine entsprechende Basis.
Die aktuelle Lage zeigt aber auch ganz klar, dass Kunden – sprich Fluggäste oder Flughafenbesucher – nach wie vor die wichtigste Basis für den Unternehmenserfolg sind und zum Glück auch bleiben.
Was sind Ihre wichtigsten Empfehlungen, um Risiken in IT zu beurteilen und zu managen?
Wir haben gute Erfahrungen gemacht mit Business Impact Analysen, die wir zusammen mit den Fachbereichen im Gespräch aufgenommen haben. Wir haben dabei gefragt, was im Business passiert, wenn die IT für eine Stunde, einen Tag, eine Woche oder einen Monat nicht zur Verfügung steht. Ähnliche Fragen stellten wir auch bei der Datenintegrität. Dabei haben wir wohl gegenseitig Erkenntnisse gewonnen, die wir so noch nicht vermutet hätten. Wir haben dabei bewusst nicht Eintrittswahrscheinlichkeit und Schadensausmass multipliziert, denn wir sind nicht in der Lage eine Eintrittswahrscheinlichkeit eines Cyber Angriffs, also einer kriminellen Handlung, zu benennen. So ist und bleibt der Dialog mit den externen Kunden und den internen Fachbereichen der wichtigste Baustein für ein gegenseitiges Verständnis und die Beurteilung von Risiken.
Im Management solcher Risiken versuchen wir, einzelne Problemstellungen zu lösen oder zu isolieren. In der Tendenz glaube ich, dass wir dazu neigen zu umfassend zu denken. Dabei gilt es zu bedenken, dass wir Tausende von Schwachstellen zu managen haben, die Angreifer aber nur eine Schwachstelle benötigen, um erfolgreich zu sein. Wenn man so will eine „unfaire“ Ausgangslage, die wir aber nicht ändern können.
Wie sehen Sie die Bedrohungsszenarien in Zusammenhang mit Digitalisierung, IoT und zunehmender Vernetzung?
Die möglichen Einfallstore werden noch grösser und die Isolierung überlebenswichtiger Systeme umso zentraler. Ich denke hier vermehrt wie beim Hausbau in „Brandabschnitten“. Wir müssen da ein oder zwei Zimmer opfern, um die anderen zu schützen. Das verbrannte Zimmer können wir dann wieder renovieren. Das ist immer noch wirtschaftlicher, als das ganze Haus zu ersetzen.
Mit diesem Bild vor Augen haben wir uns deshalb entschlossen diese „lebenswichtigen IT-Organe“ physisch vom Rest zu trennen. Im Einzelfall ist das jeweils eine reine Risiko- und Wirtschaftlichkeitsabwägung.
Kann die IT alleine diese Szenarien abdecken und welche Zusammenarbeit braucht es im Unternehmen für einen umfassenden Schutz?
Technisch können wir mit Unterstützung unserer Partner relativ viel abdecken. Ich bin da wirklich sehr froh gute Mitarbeitende und Partner zu haben. Innerhalb des Unternehmens braucht es den oben bereits erwähnten Dialog und Awareness. Wenn wir aus der IT heraus „nur“ Hürden einbauen, dann werden unsere Kolleginnen und Kollegen Wege finden, es auf eine andere und einfachere bzw. bequemere Weise zu tun, denn sie haben ihren Auftrag effizient zu erfüllen. Ich kann das als Privatperson nachvollziehen. Ich suche mir auch nicht freiwillig die umständlichsten Lösungen. Wir müssen es gemeinsam schaffen zu verstehen, warum eine Massnahme notwendig ist, dann geht das eher in Fleisch und Blut über. Ich bin fest davon überzeugt, dass Menschen die Sicherheit ausmachen, nicht Technik. Die Technik ist nur Mittel zum Zweck. Die Personen, die dahinterstehen machen den Unterschied.
Wie sehen 2020 die wichtigsten Anforderungen an die Cyber Security Infrastruktur aus? Was sind die entscheidenden Elemente?
Entscheidend ist, dass wir unsere Standards so konsequent wie möglich einhalten können und temporäre Ausnahmen gut dokumentieren. Das ist bei der Vielzahl an Systemen und Komponenten als Flughafen-Stadt eine grosse und nicht enden wollende Herausforderung.
Dann geht es darum, die grössten Risiken in der Infrastruktur bzw. der Art deren Einsatzes stark zu reduzieren. Hier haben wir entsprechende Projekte z.B. im Umfeld des Active Directory oder auch in der physischen Trennung von Assets gestartet, um unsere historisch gewachsenen Zustände aufzuräumen bzw. einen nächsten Schritt zu gehen. Ein wichtiges Element ist auch die Weiterentwicklung unseres SIEM kombiniert mit Scans der eingesetzten Software auf unseren Komponenten.
Technologie und Restriktionen vs. Organisation und Awareness – Wo sehen Sie am meisten Handlungsbedarf?
Ganz eindeutig in der Organisation und Awareness. Entscheidend für mich ist, wie wir als Menschen in der Organisation damit umgehen und jeder seine Rolle und Verantwortung wahrnimmt und Standards einhält. Ich vergleiche das gerne mit Hausarbeit. Ich muss bei der Organisation und Awareness immer wieder was tun, damit ich Ordnung habe und sich der Staub nicht ansetzen kann.
Mit Technik und Restriktionen baue ich mir am Ende des Tages (nur) eine technische Abwehr und treffe über Einschränkungen Massnahmen.
Mit welchen Technologien muss man sich 2020 auf jeden Fall befassen, wenn es um Cyber Security geht?
Ich glaube nicht daran, dass Technologien der entscheidende Faktor sind. Es sind die Menschen dahinter. Daher ist es entscheidender wie wir uns zusammen mit unseren Partnern weiterentwickeln, um für die Zukunft gerüstet zu sein.
Bzgl. Technologie haben wir uns vor rund 2 Jahren mit dem Thema Künstliche Intelligenz in der Cyber Security auseinandergesetzt. Damals war das Kosten – Nutzenverhältnis für uns noch nicht gegeben. Das wird sicher dieses oder nächstes Jahr wieder ein Thema, sodass wir damit unsere Mitarbeitenden weiter unterstützen können.
Confare CIO Summit 2020
Österreichs größtes IT-Management Forum
Use Cases, Insights, Meet-Ups, Chats & Austausch auf Augenhöhe.
Workshops zu Topics wie Agiles Management, Cybersecurity, Leadership, AI Innovation, Fehlerkultur und IT & OT mit voestalpine, Red Bull, STEYR Arms, Porsche Informatik, Stadt Wien uvm.
*Für CIOs und IT-Manager ist die Teilnahme mit keinen Kosten verbunden