Exclusive im #ConfareBloG mit Christoph Kukovic: Der Kampf ums Personal wird zur Herausforderung für die Resilienz der IT
Christoph Kukovic ist Enterprise Security Architect bei VERBUND, Österreichs größten Strom-Erzeuger. Bei einem Unternehmen der kritischen Infrastruktur sind die Anforderungen an Cybersecurity und IT Resilienz besonders hoch. In der Recherche für das kommende Confare Factsheet „Cyber Security Update 2023“, das Confare in Zusammenarbeit mit T-Systems Austria veröffentlicht, haben wir Christoph zu den aktuellen Herausforderungen und Trends befragt.
Kein Factsheet verpassen? Einfach das Confare Factsheet Abo bestellen!
Christoph Kukovic und mehr als 500 weitere hochkarätige IT-Entscheider treffen Sie beim Confare #CIOSUMMIT, dem größten und wichtigsten IT-Management Treffpunkt des Jahres. Gleich anmelden.
Inflation, Pandemie, Krieg – Welche Herausforderungen bringen die aktuellen Unabwägbarkeiten für die Unternehmens-IT?
Die aktuellen gesellschaftlichen und politischen Herausforderungen schlagen längst auf die IT durch. Die Teuerung verschärft die budgetäre Situation allerorts, darunter leiden auch IT-Betrieb und -Entwicklung. Preissteigerungen, etwa bei Dienstleistungen und Equipment, sind ebenso ein Problem wie der deutlich verschärfte Personalmangel. Die derzeitige Unsicherheit lässt viele Expert:innen vor einem Jobwechsel scheuen; auch die von der Pandemie verstärkten Personalprobleme halten an.
Ohnehin verursacht die Pandemie noch Nachwehen: Die belastenden letzten Jahre haben alle viel Energie gekostet. Ein Durchatmen war allerdings angesichts der Schlag auf Schlag nachfolgenden Krisen bis heute nicht möglich. Gleichzeitig hat das Coronavirus für tektonische Verschiebungen in der IT- und Arbeitswelt gesorgt, die neue Problemfelder geöffnet haben. Im Bereich der Cyber Security haben sich etwa durch die Etablierung des Home-Office neue, herausfordernde Angriffsmethoden ergeben. Ähnlich verhält es sich mit dem Krieg gegen die Ukraine – die Bedrohung durch staatliche Akteure und Trittbrettfahrer erfordert die volle Aufmerksamkeit.
Widerstandskraft (also Resilienz) ist in unsicheren Zeiten zu einem entscheidenden Faktor für die Unternehmens-IT geworden. Was sind die wichtigsten Faktoren dabei?
Gerade in turbulenten Zeiten ist es wichtiger denn je, dass die Unternehmens-IT Ausfallssicherheit gewährleistet. Dabei kann nur ein stabiles Fundament für ausreichende Widerstandskraft sorgen. Redundanzen sind dabei nicht nur bei den eingesetzten Technologien, sondern besonders bei Mitarbeiter:innen notwendig. Ihr Spezialwissen sorgt nämlich dafür, dass letzten Endes alles nach Plan laufen kann. Es muss dafür Sorge getragen werden, dass über dieses Wissen nicht nur einzelne Personen verfügen. Dafür braucht es ausreichend Spezialist:innen, die in ihren Fachgebieten top ausgebildet sind und über umfangreiche Erfahrung verfügen. Gleichzeitig existiert bekanntlich seit langem ein eklatanter Mangel an Techniker:innen, und die Unternehmen kämpfen um jeden Kopf im eigenen Team. Darin sehe ich ein großes Risiko für die Schwächung der Widerstandskraft einer Unternehmens-IT.
Ansonsten gilt für den Ernstfall: Man kann nie gut genug vorbereitet sein. Daher müssen Notfallpläne immer parat stehen, aktuell gehalten werden und möglichst viele Szenarien beinhalten. Selbstverständlich müssen diese auch in regelmäßigen Abständen trainiert werden. Mit der Hilfe von Krisenübungen können Schwächen in den Plänen und Verbesserungsmöglichkeiten aufgezeigt werden, zudem wird der Ablauf mit allen Beteiligten ideal einstudiert. Tritt der Ernstfall ein, ist Zeit ein wesentlicher Faktor. Mit genug Übung kann vermieden werden, dass sich Teams in einer Ausnahmesituation erst mühsam Kommunikationswege oder andere Prozesse erarbeiten müssen, während eigentlich schon intensiv am Problem selbst gearbeitet werden sollte.
Mitarbeiterinnen und Mitarbeiter entwickeln durch die Übungen ebenfalls eine gewisse Resilienz. Trotz vorhandener Notfallpläne und allen Bemühungen der Beteiligten kann beim ersten Durchführen von Simulationen durchaus ein gewisses Durcheinander entstehen. Denn auch der Umgang mit Stress in Ausnahmesituationen will geübt sein – Krisenübungen sind hierfür das perfekte Instrument.
Welche Rolle kommt der Cyber Security zu, wenn es um Resilienz geht?
Resilienz ist eines der grundsätzlichen Themen der Cyber Security. Eine effektive Cyber Security schützt, stärkt und unterstützt die IT eines Unternehmens vor Bedrohungen aus dem Cyberraum, hat aber auch die volle Übersicht über die IT-Landschaft im Unternehmen. Dadurch können interne Schwachstellen schnell aufgezeigt, mit integrierten Prozessen behandelt und abgearbeitet werden. Denn Schwachstellen sind – wie in jeder Verteidigungsmauer – vorhanden. Die Frage ist nur, wer zu zuerst findet: Der Angreifer oder die Verteidiger.
Häufig unterschätzt wird die Transparenz, die Cyber Security innerhalb von Unternehmen schafft. Diese kann nicht nur zur Erkennung und Abwehr von Angriffen genutzt werden. Auch im IT-Betrieb stellt sie ein wertvolles Asset dar. Häufig stehen Security-Expert:innen mehr Informationen zur Verfügung als einzelnen Verantwortlichen im Betrieb. Führt man diese Pfeiler zusammen, profitiert in weiterer Folge die Stabilität der Unternehmens-IT und damit die Widerstandskraft.
Welche sind die wichtigsten Compliance und Regulierungstrends 2023? Worauf müssen CIOs und CISOs achten?
Auch 2023 wird uns die EU-Richtlinie zur Netz- und Informationssystemsicherheit beschäftigen – jetzt allerdings als verschärfte NIS-2-Richtlinie mit höheren Sicherheitsanforderungen. Angesichts der zunehmenden Bedrohungen im Cyberraum und einer wachsenden Abhängigkeit von digitaler Infrastruktur hat die EU bei der Richtlinie nachgeschärft, um ein einheitliches Sicherheitslevel in den EU-Staaten zu schaffen und Unternehmen stärker in die Pflicht zu nehmen. „NIS 2.0“ beinhaltet dabei strengere und einheitliche Sanktionsmaßnahmen, aber auch wesentlich klarer formulierte Anforderungen an das konkrete Risikomanagement. Diese reichen von der Erstellung von Informationssicherheitskonzepten bis hin zu konkreten technischen Aspekten wie einer Netzsegmentierung oder dem regelmäßigen Einspielen von Softwareupdates.
Auch der Kreis der betroffenen Unternehmen wird erweitert und harmonisiert. Ausschlaggebend wird zukünftig die jeweilige Unternehmensgröße sein, bezogen auf Anzahl der Mitarbeiter:innen und Höhe des Jahresumsatzes. Zahlreiche Unternehmen werden damit erstmals oder in deutlich breiterem Ausmaß von der Richtlinie betroffen sein – das wird auch deren CIOs und CISOs beschäftigen.
Wie verändern sich die Rollenbilder von CIO und CISO, wenn es um Cyber Security 2023 geht?
Nicht wesentlich. CIOs müssen seit eh und je das Thema Security in ihren IT-Projekten und im Betrieb mitberücksichtigen. Diese Awareness im Management ist für eine erfolgreiche und effektive Cyber Security essenziell. Wenn es anschließend um das fachspezifische Expert:innenenwissen geht, kommen die CISOs zum Einsatz. Sie sollten dabei eine klare, organisatorische Abgrenzung zur laufenden Unternehmens-IT haben; dadurch können sie die Security ständig verbessern, ohne in Interessenkonflikte zu geraten.
Gleichsam ist es wichtig, dass CIO und CISO eng zusammenarbeiten. CISO und die Cyber Security als Enabler der IT und Digitalisierung werden oft in der Literatur erwähnt, und das auch zu Recht. Dies erfordert aber viel Einsatz und Kooperation. Der Grat, auf dem man vom Unterstützer zum Verhinderer werden kann, ist sehr schmal. Letzteres gilt es mit aller Kraft zu vermeiden. Von der Kooperation profitieren beide Seiten. Wenn sich CIO und CISO gegenseitig stärken und gemeinsam an einem Strang ziehen, stellt die Cyber Security eine ausgezeichnete Basis für einen stabilen IT-Betrieb dar.
Agilität, Kundenorientierung und Geschwindigkeit sind Erfolgsfaktoren in einem hoch dynamischen Umfeld. Wie lässt sich das mit Forderung nach Stabilität, Widerstandsfähigkeit und Sicherheit unter einen Hut bringen?
Tatsächlich handelt es sich hierbei um eine Mammutaufgabe, die aber nicht nur die Cyber Security betrifft. Auch der IT-Betrieb ist hier stark gefordert und muss auf ständigen Wandel schnell reagieren können. Dies erfordert nachhaltiges Umdenken und die Schaffung von neuen Rollen mit Prozessen, die es in der Vergangenheit in dieser Form noch nicht gab. DevSecOps stellt hier ein sehr gutes Beispiel für eine ganzheitliches Rollenverständnis dar, das die Entwicklung, Bereitstellung und den Betrieb mit der Cyber Security durch Automatismen gesamt unterstützt.
Ein Silodenken behindert die Agilität und damit die Konkurrenzfähigkeit, während unkoordinierte Dynamik die Sicherheitsfrage verschärft. Kommunikation zwischen den unterschiedlichen Abteilungen spielt dabei eine wesentliche Rolle und kann häufig optimiert werden. Wie zukünftig Informationen ausgetauscht werden, und wie diese effizient und möglichst automatisiert in das zentrale Risikomanagement einfließen, wird zunehmend zum Erfolgsfaktor.
*Zur besseren Lesbarkeit wird in diesem Beitrag das generische Maskulinum verwendet. Die in diesem Beitrag verwendeten Personenbezeichnungen beziehen sich – sofern nicht anders kenntlich gemacht – auf alle Geschlechter.