Warum beim VERBUND Digitalisierung und Cybersecurity Hand in Hand gehen

IoT Vernetzung schafft Hintertüren

Bei Österreichs größtem Stromerzeuger, VERBUND, sind die Bereiche Digitalisierung und IT-Security in einer Hand. Thomas Zapf ist Confare #CIOAWARD Preisträger, nominiert für die Auszeichnung #CIO2020 – CIO OF THE DECADE, und erklärt uns im Bloginterview, warum diese beiden Themen untrennbar zusammengehören und wie man bei einem EVU mit den Themen IoT und Vernetzung umgeht.

Welche Rolle spielt Cybersecurity für den Unternehmenserfolg tatsächlich?

Als größter heimischer Stromerzeuger hat VERBUND früh den Trend zur Digitalisierung erkannt. Seit den 1970er-Jahren wird innovative Leittechnik zur Steuerung von Wasserkraftwerken eingesetzt. Heute sind wir bereits mitten in der nächsten Phase. Wir nutzen digitale Technologien, um alle Geschäftsbereiche auf eine neue Ebene zu heben.

Dabei gilt für uns aber ein wesentlicher Grundsatz: Digitalisierung und Cybersecurity sind untrennbar und müssen Hand in Hand gehen. Die Cybersecurity trägt daher gemeinsam mit der Digitalisierung direkt zum Unternehmenserfolg bei.

Was sind Ihre wichtigsten Empfehlungen, um Risiken in IT zu beurteilen und zu managen?

An oberster Stelle stehen für uns die beiden Begriffe Transparenz und Nachvollziehbarkeit. Nur damit können Risiken sichtbar gemacht und allen Verantwortlichen in das Bewusstsein gerufen werden. Das bedeutet aber auch, dass in der IT grundlegende Hausaufgaben gemacht sein müssen. So bilden beispielsweise ein gelebtes und voll integriertes Assetmanagement oder ein funktionierendes Changemanagement das stabile Fundament für alle relevanten Security Themen. Erst dann können mit konkreten Maßnahmen die identifizierten Risiken reduziert und gemanaged werden. Der Einsatz dieser Maßnahmen muss jedoch gezielt und dem eigenen Reifegrad entsprechend durchgeführt werden. Gerade im Bereich der Cybersecurity zählt dabei Qualität vor Quantität. Sicherheit wird nicht mit einer möglichst großen Anzahl an eingesetzten technischen Lösungen geschaffen, sondern in dem man die richtigen Security- Systeme und Applikationen fokussiert und auf die eigene Infrastruktur und Applikationslandschaft maßgeschneidert betreibt.

Wie sehen Sie die Bedrohungsszenarien in Zusammenhang mit Digitalisierung, IoT und zunehmender Vernetzung?

Die Digitalisierung ist der Treiber, der uns mit unglaublicher Geschwindigkeit in Form von neuen Technologien und Innovationen nach vorne bringt. Gleichzeit besteht darin aber auch die Gefahr, dass mit der einhergehenden und sehr oft unkontrollierte Vernetzung, unbemerkt Hintertüren geschaffen werden, die es Angreifern ermöglichen tief in Landschaften vorzudringen – auch in Bereiche die nach Best Practices der Cybersecurity sehr gut geschützt sind. Die zunehmende Geschwindigkeit setzt auch häufig die Hersteller unter Druck, schnell neue Produkte auf den Markt zu bringen. Damit leidet auch sehr oft die Security Qualitätssicherung und wird nicht mit der notwendigen Aufmerksamkeit behandelt, die von Kunden vorausgesetzt wird. Ein großes Bedrohungsszenario sehe ich in einem Wildwuchs an unsicheren Lösungen, der oft in Schatten IT´s, vorbei an den IT-Verantwortlichen betrieben wird. Ein weiteres Szenario ist auch die immer tiefere Integration der IoT Lösungen. Hier muss den Herstellern der Applikationen fachlich bzw. softwaretechnisch auf Augenhöhe begegnet werden können und das ist durch den sehr starken Outsourcing Trend in den verschiedenen Industrien nicht mehr so einfach zu bewerkstelligen. Aufgrund des steigenden Spezialisierungsgrad wird es für diese nämlich immer schwieriger das benötigte Know-How im Softwarebereich auch aufbauen zu können. Daher wird häufig gefordert, dass jedes Unternehmen auf gewisse Weise auch zu einem Softwareentwicklungsunternehmen werden muss – auch von mir. Ich erweitere diese Forderung aber in Richtung Secure Softwareentwicklungsunternehmen!

Kann die IT alleine diese Szenarien abdecken und welche Zusammenarbeit braucht es im Unternehmen für einen umfassenden Schutz?

Die IT kann nur die Basis für einen effektiven Schutz bilden. Für einen sicheren Betrieb im Unternehmen müssen Mitarbeiterinnen und Mitarbeiter genauso mitwirken und aktiv eingebunden werden. Security Awareness ist dabei nur ein Schlagwort. Für die Digitalisierung müssen zusätzlich zur technischen Absicherung auch Prozesse geschaffen werden, die neue Anschaffungen auf sicherheitstechnische Standards überprüfen. Dabei muss auch bewertet werden, ob die gewünschte Lösung sicher in die bestehende Systemarchitektur integriert werden kann. Mitarbeiterinnen und Mitarbeiter müssen dahingehend sensibilisiert werden, diese Prozesse aktiv zu nutzen und nicht an ihnen vorbei nach eigenem Ermessen neue Lösungen in Betrieb zu nehmen.

Wie sehen 2020 die wichtigsten Anforderungen an die Cybersecurity Infrastruktur aus? Was sind die entscheidenden Elemente?

In der Cybersecurity selbst stellt die Geschwindigkeit, mit der die Digitalisierung voranschreitet, einer der größten Herausforderungen dar. Häufig wird sie daher intern auch mehr als „Verhinderer“ anstelle des „Enablers“ wahrgenommen. Damit eine höchst mögliche Akzeptanz geschaffen wird, muss sie diesen Ruf daher abstreifen und als das auftreten was sie eigentlich ist – nämlich, wie die Digitalisierung auch, ein Unterstützer der IT-Infrastruktur und Systemarchitektur. Bei VERBUND haben für das Jahr 2020 und die darauffolgenden Jahre eine IT-Security Roadmap erstellt. Darin enthalten sind einerseits Projekte, die den Schutz der Mitarbeiterinnen und Mitarbeiter und der IT-Infrastruktur zusichern, aber auch Projekte die direkt der operativen IT zur Seite stehen, indem sie beispielsweise die Stabilität des Betriebes erhöhen und proaktiv Wartungsaufwände reduzieren.

Technologie und Restriktionen vs. Organisation und Awareness – Wo sehen Sie am meisten Handlungsbedarf?

Sowohl hinter der Weiterentwicklung der eingesetzten Technologien als auch hinter der Organisation und dem Schaffen von Awareness stehen Prozesse, die es ermöglichen, auf ständige Änderungen der Bedrohungslandschaft reagieren zu können. Hier darf man sich nicht auf bereits erhaltenen Lorbeeren ausruhen, denn auch Angreifer lassen sich ständig neue Szenarien und Ködermechanismen einfallen. Daher herrscht bei diesen Themen permanenter Handlungsbedarf. Häufig gehen damit auch unweigerlich Restriktionen einher. Die Kunst dabei ist es ein gesundes Mittelmaß zwischen Security und Usability schaffen. Einerseits darf der tägliche Betrieb nicht unter den Sicherheitsmaßnahmen leiden, gleichzeitig muss die Sicherheit gewährleistet sein.

Mit welchen Technologien muss man sich 2020 auf jeden Fall befassen, wenn es um Cybersecurity geht?

Die Cyber Angriffe werden täglich vielfältiger und damit wird die Erkennung und Reaktion auch immer teurer. Zusätzlich gibt es einfach nicht die einzige und richtige Technologie oder Dienstleistung.

Wichtig sind aus meiner Sicht sehr nachhaltige Partnerschaften, sehr starker Wissensaustausch und die Investitionen sehr gleichwertig in Security Experten/Innen und in Technologien zu verteilen.

Wesentlich sind für mich noch folgende Themen:

• • Automatisierung der Abläufe
  • Einsatz von Künstlicher Intelligenz in Erkennung von Anomalien und Reaktion, im nächsten Schritt in die Selbstheilung der Systeme
  • Security Operation Center ist und bleibt ein Top Thema, die Cyber Range wird ein Top Thema
  • Agnostisch sichere Plattformentwicklung

Interessante Videos zu diversen Themen finden Sie auf unserem YouTube-Kanal.